CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2021-46686
Critical

W acmailer CGI w wersji 4.0.3 i wcześniejszych oraz w acmailer DB w wersji 1.1.5 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. W przypadku wykorzystania tej podatności, atakujący może wykonać dowolne polecenie systemowe.

CVE-2025-22290
Critical

W podatności CVE-2025-22290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – FreightQuote Edition w wersjach od n/a do 2.3.11.

CVE-2024-57971
Critical

W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.

CVE-2025-1302
Critical

Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.

CVE-2024-56973
Critical

Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.

CVE-2025-0867
Critical

Standardowy użytkownik wykorzystuje funkcję uruchamiania jako, aby uruchomić aplikacje MEAC z uprawnieniami administratora. W celu zapewnienia, że system może samodzielnie się uruchomić, dane logowania administratora zostały zapisane, co umożliwia użytkownikowi EPC2 wykonywanie dowolnych poleceń z uprawnieniami administratora.

CVE-2024-13152
Critical

W podatności CVE-2024-13152 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection w panelu monitorowania maszyn Mobuy Online. Problem dotyczy wersji przed 2.0.

CVE-2025-1298
Critical

W aplikacji mobilnej (com.transsion.carlcare) występuje luka logiczna, która może prowadzić do przejęcia konta użytkownika.

CVE-2025-22630
Critical

W podatności CVE-2025-22630 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co prowadzi do możliwości wstrzyknięcia poleceń systemowych w widgecie Widget Options. Problem ten dotyczy wersji Widget Options od n/a do 4.1.0 włącznie.

CVE-2025-1127
Critical

Podatność CVE-2025-1127 pozwala atakującemu na wykonanie dowolnego kodu jako użytkownik bez uprawnień oraz na modyfikację zawartości dowolnych danych w systemie plików.

CVE-2024-13182
Critical

Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.5. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_parse_request'.

CVE-2025-25286
Critical

Crayfish to zbiór mikroserwisów Islandora 8, w tym Homarus, który udostępnia FFmpeg jako mikroserwis. Przed wersją 4.1.0 Crayfish, w niektórych konfiguracjach, mogło dojść do zdalnego wykonania kodu w instalacjach Homarus dostępnych przez sieć.

CVE-2025-25182
Critical

W Stroom, platformie do przetwarzania, przechowywania i analizy danych, występuje podatność, która pozwala na obejście uwierzytelniania w systemie Stroom, gdy jest skonfigurowany z ALB i dostępny nie przez ALB. Podatność ta może również umożliwić atak typu server-side request forgery, co może prowadzić do wykonania kodu lub eskalacji uprawnień przy użyciu adresu URL metadanych AWS.

CVE-2024-12213
Critical

Wtyczka WP Job Board Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.3.16. Problem wynika z możliwości podania przez użytkownika pola 'rola' podczas rejestracji, co umożliwia nieautoryzowanym atakującym rejestrację jako administrator na podatnych stronach.

CVE-2025-25530
Critical

W podatności CVE-2025-25530 występuje przepełnienie bufora w bramie Digital China DCBI-Netlog-LAB w wersji 1.0, spowodowane brakiem weryfikacji długości, co dotyczy zapisywania informacji o konfiguracji kontroli rodzicielskiej. Atakujący, którzy pomyślnie wykorzystają tę podatność, mogą spowodować awarię zdalnego urządzenia docelowego lub wykonać dowolne polecenia.

CVE-2025-1126
Critical

Zidentyfikowano podatność w kliencie zarządzania drukiem Lexmark, polegającą na zaufaniu do niezweryfikowanych danych wejściowych w decyzjach bezpieczeństwa.

CVE-2025-24973
Critical

Concorde, wcześniej znany jako Nexkey, to fork federacyjnej platformy mikroblogowej Misskey. Przed wersją 12.25Q1.1, z powodu niewłaściwej implementacji procesu wylogowywania, dane uwierzytelniające pozostają w ciasteczkach nawet po wylogowaniu, co może umożliwić atakującemu kradzież tokenów uwierzytelniających.

CVE-2024-12366
Critical

PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.

CVE-2025-26410
Critical

Oprogramowanie układowe wszystkich urządzeń Wattsense Bridge zawiera te same wbudowane dane logowania dla użytkownika i roota. Hasło użytkownika można łatwo odzyskać za pomocą prób łamania haseł, co umożliwia dostęp do urządzenia przez interfejs szeregowy.

CVE-2025-0181
Critical

Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 4.8 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem bieżącego użytkownika oraz jego ciasteczka uwierzytelniającego.

PreviousPage 280 of 574Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS