CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Post Grid i Gutenberg Blocks dla WordPressa jest podatna na eskalację uprawnień w wersjach od 2.2.85 do 2.3.3. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.
A buffer overflow vulnerability has been discovered in the Tenda i24 device version V2.0.0.5 within the addWifiMacFilter function. An attacker can exploit this flaw to execute arbitrary code remotely or cause a system crash.
A buffer overflow vulnerability was discovered in the H3C N12 device running firmware version V100R005, specifically in the MAC address editing function. The lack of input length validation allows an attacker to send a crafted POST request to /bin/webs, potentially causing a device crash or arbitrary code execution.
Discourse AI to wtyczka do Discourse, która oferuje funkcje oparte na sztucznej inteligencji. W przypadku udostępniania rozmów z Discourse AI Bot w postach, HTML encje mogą wyciekać do aplikacji Discourse, gdy użytkownik odwiedza post z odnośnikiem do tej rozmowy.
A buffer overflow vulnerability was found in the H3C N12 V100R005 device within the 5G wireless network processing function. The lack of length validation allows an attacker to remotely crash the device or execute arbitrary commands by sending a POST request to /bin/webs.
A buffer overflow vulnerability was found in the H3C N12 V100R005 device in the AP configuration function. The lack of length validation allows an attacker to remotely crash the device or execute arbitrary commands by sending a POST request to /bin/webs.
A buffer overflow vulnerability was found in the H3C N12 V100R005 device in the MAC address update function. Lack of length validation allows an attacker to remotely crash the device or execute arbitrary code by sending a POST request to /bin/webs.
A buffer overflow vulnerability was found in the H3C N12 V100R005 device within the 2.4G wireless network processing function. The lack of length validation allows an attacker to remotely crash the device or execute arbitrary code by sending a POST request to /bin/webs.
W frameworku uczenia maszynowego Rasa zidentyfikowano podatność, która umożliwia zdalne wykonanie kodu przez atakującego, który ma możliwość załadowania złośliwie przygotowanego modelu do instancji Rasa. Wymaga to włączenia API HTTP oraz braku odpowiednich zabezpieczeń lub posiadania ważnego tokena uwierzytelniającego.
An authentication bypass vulnerability in FortiOS and FortiProxy using an alternate path or channel. A remote attacker can gain super-admin privileges by sending crafted requests to the Node.js websocket module.
W serwerach pamięci masowej STEALTHONE D220/D340 firmy Y'S występuje podatność na wstrzykiwanie poleceń systemowych. Atakujący, który ma dostęp do podatnego produktu, może wykonać dowolne polecenie systemowe.
SAP NetWeaver Application Server dla ABAP oraz platforma ABAP pozwala uwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do systemu poprzez wykorzystanie niewłaściwych kontroli uwierzytelniania, co prowadzi do eskalacji uprawnień. Udana eksploitacja może prowadzić do poważnych problemów z bezpieczeństwem.
W urządzeniach Eaton X303 w wersjach 3.5.16 - 3.5.17 Build 712, atakujący z dostępem do sieci może zalogować się jako root przez SSH, ponieważ hasło root jest zakodowane w oprogramowaniu układowym. Należy zauważyć, że ta podatność występuje w wersjach, które nie są już wspierane przez Eaton.
A vulnerability in Cfx.re FXServer version v9601 and earlier allows unauthenticated users to modify and read arbitrary user data via an exposed API endpoint. The issue stems from incorrect access control.
Podatność 'Użycie hasła skrótu z niewystarczającym wysiłkiem obliczeniowym' w EveHome Eve Play pozwala atakującemu na wykonanie dowolnego kodu. Problem ten dotyczy wersji Eve Play do 1.1.42.
Podatność CVE-2025-22777 dotyczy deserializacji niezaufanych danych w wtyczce GiveWP, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GiveWP od n/a do 3.19.3 włącznie.
Atheos to samodzielnie hostowane, przeglądarkowe IDE w chmurze. W wersjach przed v600 parametry $path i $target nie są odpowiednio walidowane w wielu komponentach, co pozwala atakującemu na odczyt, modyfikację lub wykonanie dowolnych plików na serwerze.
Fortanix Enclave OS w wersji 3.36.1941-EM posiada podatność w interfejsie, która prowadzi do uszkodzenia stanu systemu w wyniku wstrzykniętych sygnałów.
FastCGI fcgi2 w wersjach od 2.x do 2.4.4 zawiera przepełnienie całkowitej liczby (i wynikowe przepełnienie bufora w stercie) spowodowane przez spreparowane wartości nameLen lub valueLen w danych przesyłanych do gniazda IPC. Problem ten występuje w funkcji ReadParams w pliku fcgiapp.c.
An issue was discovered in Opsview Monitor Agent 6.8. An unauthenticated remote attacker can call check_nrpe against affected targets, specifying known NRPE plugins, which in default installations are configured to accept command control characters and pass them to command-line interpreters for NRPE plugin execution. This allows the attacker to escape NRPE plugin execution and execute commands remotely on the target as NT_AUTHORITY\SYSTEM.

