CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W frameworku XOne Web Monitor w wersji 02.10.2024.530 zidentyfikowano podatność typu SQL injection na stronie logowania. Ta podatność umożliwia atakującym wydobycie wszystkich nazw użytkowników i haseł za pomocą odpowiednio skonstruowanego wejścia.
A credential disclosure vulnerability via the /staff route in GreaterWMS <= 2.1.49 allows a remote unauthenticated attacker to bypass authentication and escalate privileges.
Podatność CVE-2025-26776 w NotFound Chaty Pro umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki webowej na serwer. Problem ten dotyczy wersji Chaty Pro od n/a do 3.3.3.
Podatność CVE-2025-26763 dotyczy deserializacji niezaufanych danych w wtyczce MetaSlider Responsive Slider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.94.0 włącznie.
Podatność zdalnego wykonania kodu (RCE) w funkcji ZScript w GZDoom v4.13.1 pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie spreparowanego pliku PK3 zawierającego złośliwy plik źródłowy ZScript.
W analizatorze protokołu Vinci występuje podatność na wstrzykiwanie poleceń systemowych, która może umożliwić atakującemu eskalację uprawnień oraz wykonanie kodu na zaatakowanym systemie.
Podatność typu Relative Path Traversal w agencie polityk Java PingAM firmy Ping Identity umożliwia wstrzykiwanie parametrów. Problem ten dotyczy wersji PingAM Java Policy Agent od 5.10.3 do 2023.11.1 oraz do 2024.9.
Podatność SQL Injection w portalu studenckim Uniclare w wersji 2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą funkcji 'Zapomniałeś hasła'.
Wtyczka ravpage dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 2.31 włącznie, poprzez deserializację niezaufanych danych z parametru 'paramsv2'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
Aplikacja deserializuje nieufne dane bez wystarczającego weryfikowania, czy wynikowe dane będą poprawne. Wersje Hitachi Vantara Pentaho Business Analytics Server przed 10.2.0.0 i 9.3.0.9, w tym 8.3.x, deserializują nieufne dane JSON bez ograniczania parsera do zatwierdzonych klas i metod.
Silnik IQ firmy Extreme Networks w wersjach przed 10.6r1a oraz od 10.6r4 do 10.6r5 zawiera podatność typu buffer overflow. Problem ten występuje w usłudze ah_webui, która domyślnie nasłuchuje na porcie TCP 3009.
Lexmark MX6500 devices with firmware LW75.JD.P296 and earlier have an incorrect access control vulnerability in the access control settings. This could allow unauthorized users to bypass security restrictions.
Niewystarczające śledzenie i zwalnianie przydzielonej pamięci w libx264 git master umożliwia atakującym wykonanie dowolnego kodu poprzez stworzenie spreparowanego pliku AAC.
Podatność CVE-2025-22654 w kodeshpa Simplified umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Simplified od n/a do 1.0.6.
Podatność związana z nieprawidłowym przypisaniem uprawnień w K Elements od SeventhQueen umożliwia eskalację uprawnień. Problem ten dotyczy wersji K Elements od n/a do poniżej 5.4.0.
CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.
W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.
Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.

