CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-50076
Critical

Apache Fory (foray-core Java SDK before version 1.1.0) has a vulnerability in deserialization of untrusted data, allowing a remote attacker to bypass class registration checks and invoke unsafe methods.

CVE-2025-67446
Critical

W routerze Neterbit NW-431F w wersji 20241014-IR03 i wcześniejszych występuje nieprawidłowa autoryzacja, która pozwala na ominięcie mechanizmu uwierzytelniania. Atakujący może zmodyfikować wartość ciasteczka, co umożliwia dostęp do funkcji administracyjnych bez odpowiednich uprawnień.

CVE-2026-43986
Critical

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 udostępnia publiczną trasę `/image/<hash>`. Umożliwia to atakującym wykorzystanie kontrolowanych przez siebie wpisów z `image_hash_lookup`, co prowadzi do nieautoryzowanego pobierania obrazów z zewnętrznych adresów URL.

CVE-2026-36182
Critical

GNCC GP5 v7.1.76 was discovered to use a weak hashing algorithm to protect the root password. This could allow attackers to obtain root credentials and privileges via a brute-force attack.

CVE-2026-10868
Critical

W funkcjonalności edycji użytkowników w MISP występuje podatność na masowe przypisanie z powodu niewystarczającego filtrowania pól dostarczanych przez użytkownika. Złośliwy, uwierzytelniony atakujący może wysłać zmodyfikowane żądanie, które zawiera identyfikator innego użytkownika, co może prowadzić do nieautoryzowanej modyfikacji atrybutów konta użytkownika.

CVE-2026-35906
Critical

W modelach T3 Technology CPE T625Pro v1.0.07 oraz T6825G v1.0.03 występuje nieudokumentowany punkt końcowy CGI do debugowania, który pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych jako root poprzez dostarczenie odpowiednio skonstruowanego ciągu zapytania HTTP.

CVE-2026-35905
Critical

T3 Technology CPE models T625Pro v1.0.07, T6825G v1.0.03, and T7281 v1.0.03 were found to contain a hardcoded password for root access under the 'superadmin' account.

CVE-2026-35904
Critical

Incorrect access control in the web management interface of T3 Technology CPE models T625Pro v1.0.07, T6825G v1.0.03, and T7281 v1.0.03 allows unauthorized attackers to enable the Telnet service via sending a crafted request to a vulnerable CGI component.

CVE-2026-8037
CriticalEPSS 94%

An unauthenticated attacker can execute arbitrary OS commands on the LoadMaster appliance by injecting commands into unsanitized input at multiple API endpoints.

CVE-2019-25741
Critical

MobaXterm w wersji 12.1 zawiera podatność typu przepełnienie bufora opartą na obsłudze wyjątków (SEH) w polu nazwy użytkownika plików sesji. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu poprzez przygotowanie złośliwego pliku sesji MobaXterm, który wywołuje tę podatność podczas importu i wykonania.

CVE-2019-25738
Critical

WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.

CVE-2019-25729
Critical

PDF Signer 3.0 zawiera podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie poleceń PHP za pomocą parametru cookie CSRF-TOKEN. Atakujący mogą stworzyć złośliwe wartości cookie zawierające ładunki wstrzykujące, takie jak shell_exec(), aby wykonywać polecenia systemowe.

CVE-2019-25727
Critical

Wtyczka WordPress ad manager w wersji 1.0.11 zawiera podatność na pobieranie dowolnych plików, która pozwala nieautoryzowanym atakującym na pobieranie wrażliwych plików poprzez manipulację parametrem ścieżki. Atakujący mogą wysyłać żądania GET do punktu końcowego edit.php z parametrem export=export_csv oraz złośliwym parametrem ścieżki, aby odczytać dowolne pliki, takie jak wp-config.php, dostępne dla serwera WWW.

CVE-2026-4104
Critical

Podatność CVE-2026-4104 dotyczy TeknoPass i polega na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz główny SQL, co umożliwia atak SQL Injection. Problem ten występuje w wersjach od 20210501 do 20260429.

CVE-2026-50225
Critical

The registration path /v1/account/register provides no bot mitigation mechanisms, allowing malicious automated systems to flood the database.

CVE-2026-50214
Critical

The /v1/Plan service relies entirely on a shared global API token for full administrative management, allowing arbitrary creation of zero-cost network access plans.

CVE-2026-50211
Critical

Na wersjach detalicznych pozostają wystawione na działanie złośliwego oprogramowania diagnostyka inżynieryjna oraz oprogramowanie diagnostyczne na poziomie fabrycznym, co umożliwia złośliwym aplikacjom uzyskanie uprawnień do zapisu w wewnętrznych rejestrach NVRAM.

CVE-2026-50208
Critical

Routines TrustAllCerts o wysokim ryzyku wyłączają standardową walidację certyfikatów TLS. W połączeniu z zakodowanymi kluczami szyfrowania DES, atakujący typu Man-in-the-Middle (MITM) mógłby odszyfrować ruch sieciowy.

CVE-2026-49191
Critical

Produkcja M3WebServer zawiera twardo zakodowane klucze API backendu, które mogą być łatwo przechwycone poprzez szczegółowe strony błędów.

CVE-2026-49188
Critical

Narzędzie ai_cmd działa z pełnymi uprawnieniami roota i przekazuje dane z gniazd do funkcji popen(). To umożliwia nieautoryzowanym użytkownikom wykonywanie dowolnych poleceń z uprawnieniami roota.

PreviousPage 53 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS