CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-54820
Critical

W frameworku XOne Web Monitor w wersji 02.10.2024.530 zidentyfikowano podatność typu SQL injection na stronie logowania. Ta podatność umożliwia atakującym wydobycie wszystkich nazw użytkowników i haseł za pomocą odpowiednio skonstruowanego wejścia.

CVE-2025-26201
Critical

A credential disclosure vulnerability via the /staff route in GreaterWMS <= 2.1.49 allows a remote unauthenticated attacker to bypass authentication and escalate privileges.

CVE-2025-26776
Critical

Podatność CVE-2025-26776 w NotFound Chaty Pro umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki webowej na serwer. Problem ten dotyczy wersji Chaty Pro od n/a do 3.3.3.

CVE-2025-26763
Critical

Podatność CVE-2025-26763 dotyczy deserializacji niezaufanych danych w wtyczce MetaSlider Responsive Slider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.94.0 włącznie.

CVE-2024-54756
Critical

Podatność zdalnego wykonania kodu (RCE) w funkcji ZScript w GZDoom v4.13.1 pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie spreparowanego pliku PK3 zawierającego złośliwy plik źródłowy ZScript.

CVE-2025-1265
Critical

W analizatorze protokołu Vinci występuje podatność na wstrzykiwanie poleceń systemowych, która może umożliwić atakującemu eskalację uprawnień oraz wykonanie kodu na zaatakowanym systemie.

CVE-2025-20059
Critical

Podatność typu Relative Path Traversal w agencie polityk Java PingAM firmy Ping Identity umożliwia wstrzykiwanie parametrów. Problem ten dotyczy wersji PingAM Java Policy Agent od 5.10.3 do 2023.11.1 oraz do 2024.9.

CVE-2024-57401
Critical

Podatność SQL Injection w portalu studenckim Uniclare w wersji 2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą funkcji 'Zapomniałeś hasła'.

CVE-2024-13789
Critical

Wtyczka ravpage dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 2.31 włącznie, poprzez deserializację niezaufanych danych z parametru 'paramsv2'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2024-37361
Critical

Aplikacja deserializuje nieufne dane bez wystarczającego weryfikowania, czy wynikowe dane będą poprawne. Wersje Hitachi Vantara Pentaho Business Analytics Server przed 10.2.0.0 i 9.3.0.9, w tym 8.3.x, deserializują nieufne dane JSON bez ograniczania parsera do zatwierdzonych klas i metod.

CVE-2023-46271
Critical

Silnik IQ firmy Extreme Networks w wersjach przed 10.6r1a oraz od 10.6r4 do 10.6r5 zawiera podatność typu buffer overflow. Problem ten występuje w usłudze ah_webui, która domyślnie nasłuchuje na porcie TCP 3009.

CVE-2020-35546
Critical

Lexmark MX6500 devices with firmware LW75.JD.P296 and earlier have an incorrect access control vulnerability in the access control settings. This could allow unauthorized users to bypass security restrictions.

CVE-2025-25467
Critical

Niewystarczające śledzenie i zwalnianie przydzielonej pamięci w libx264 git master umożliwia atakującym wykonanie dowolnego kodu poprzez stworzenie spreparowanego pliku AAC.

CVE-2025-22654
Critical

Podatność CVE-2025-22654 w kodeshpa Simplified umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Simplified od n/a do 1.0.6.

CVE-2024-56000
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w K Elements od SeventhQueen umożliwia eskalację uprawnień. Problem ten dotyczy wersji K Elements od n/a do poniżej 5.4.0.

CVE-2025-24895
Critical

CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2025-24894
Critical

SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2024-55460
Critical

W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.

CVE-2024-39327
Critical

W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.

CVE-2024-13725
Critical

Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.

PreviousPage 279 of 574Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS