CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Versions of @fastify/middie up to 9.3.1 do not register inherited middleware directly on child plugin engine instances. This allows unauthenticated requests to bypass authentication and authorization checks for routes defined in child plugins.
The goodoneuz/pay-uz Laravel package in versions up to 2.2.24 contains a critical vulnerability in the /payment/api/editable/update endpoint that allows unauthenticated attackers to overwrite existing PHP payment hook files. The endpoint is exposed without authentication, enabling remote access without credentials.
Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.
MailGates/MailAudit developed by Openfind has a Stack-based Buffer Overflow vulnerability, allowing unauthenticated remote attackers to control the program's execution flow and execute arbitrary code.
iSherlock developed by HGiga has an OS Command Injection vulnerability, allowing unauthenticated local attackers to inject arbitrary OS commands and execute them on the server.
Creolabs Gravity before 0.9.6 contains a heap buffer overflow vulnerability in the gravity_vm_exec function that allows attackers to write out-of-bounds memory by crafting scripts with many string literals at global scope. Attackers can exploit insufficient bounds checking in gravity_fiber_reassign() to corrupt heap metadata and achieve arbitrary code execution in applications that evaluate untrusted scripts.
Luanti 5 before 5.15.2, when LuaJIT is used, allows a Lua sandbox escape via a crafted mod.
Wtyczka Barcode Scanner dla WordPressa jest podatna na eskalację uprawnień z powodu niebezpiecznej autoryzacji opartej na tokenach we wszystkich wersjach do 1.11.0. Problem wynika z zaufania wtyczki do dostarczonego przez użytkownika identyfikatora użytkownika w tokenie, co umożliwia atakującym uzyskanie ważnych tokenów autoryzacyjnych.
A flaw in ArgoCD Image Updater allows an attacker with permissions to create or modify an ImageUpdater resource in a multi-tenant environment to bypass namespace boundaries. Insufficient validation enables unauthorized image updates on applications managed by other tenants.
Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach 25.3.1 i wcześniejszych występuje podatność na ujawnienie poświadczeń, która pozwala na dostęp do pełnej linii poleceń procesu bez uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do punktów końcowych administracyjnych.
Heap buffer overflow in ANGLE in Google Chrome prior to version 147.0.7727.101 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page.
A vulnerability in Pyroscope allows an attacker to extract the secret_key configuration value for Tencent COS storage backend via the API, if the database uses this backend. Direct access to the Pyroscope API is required.
W wersji 1.5.0 i wcześniejszych Slah CMS odkryto podatność na zdalne wykonanie kodu (RCE) w funkcji session() w pliku config.php. Podatność ta może być wykorzystana poprzez odpowiednio przygotowany input.
A vulnerability in Cisco Identity Services Engine (ISE) allows an authenticated remote attacker to execute arbitrary commands on the underlying OS. The attacker needs at least Read Only Admin credentials and sends a crafted HTTP request.
Podatność w integracji jednolitych logowań (SSO) z Control Hub w usługach Cisco Webex mogła umożliwić nieautoryzowanemu, zdalnemu atakującemu podszycie się pod dowolnego użytkownika w usłudze. Problem wynikał z niewłaściwej walidacji certyfikatów.
A vulnerability in Cisco Identity Services Engine (ISE) allows an authenticated remote attacker to execute arbitrary commands on the underlying OS. The attacker needs at least Read Only Admin credentials and sends a crafted HTTP request.
A vulnerability in Cisco ISE and Cisco ISE-PIC allows an authenticated remote administrator to execute arbitrary commands on the underlying OS. The issue is due to insufficient input validation.

