CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność CVE-2025-54001 dotyczy deserializacji niezaufanych danych w ThemeREX Classter, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Classter od n/a do 2.5 włącznie.
Wersje Net::NSCA::Client do 0.009002 dla Perla wykorzystują słaby generator liczb losowych. W wersji v0.003 zmieniono generator wektorów inicjalizacyjnych na Data::Rand::Obscure, który korzysta z wbudowanej funkcji rand() w Perlu, nieodpowiedniej do zastosowań kryptograficznych.
Wersje Compress::Raw::Zlib do 2.219 dla Perla używają potencjalnie niebezpiecznych wersji biblioteki zlib. Wersja 2.220 zawiera zlib 1.3.2, która naprawia problemy wykryte podczas audytu 7ASecurity.
Wersje UnQLite do 0.06 dla Perla wykorzystują potencjalnie niebezpieczną wersję biblioteki UnQLite. Wersja 0.06 i wcześniejsze modułu Perl używają wersji biblioteki z 2014 roku, która może być podatna na przepełnienie stosu.
Wersje Apache::Session::Generate::MD5 do 1.94 dla Perla generują niebezpieczne identyfikatory sesji. Domyślny generator identyfikatorów sesji zwraca skrót MD5, który jest podatny na przewidywanie.
Wersje Plack::Middleware::Session::Simple przed 0.05 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji zwraca skrót SHA-1, który jest podatny na przewidywanie.
Wykryto podatność typu HTTP Request Smuggling (CWE-444) w analizie żądań HTTP/1.0 i Transfer-Encoding w Pingora. Problem wynika z niewłaściwego zamykania ciał żądań HTTP/1.0 oraz błędnego przetwarzania wielu wartości Transfer-Encoding, co pozwala atakującym na wysyłanie złośliwych żądań, które desynchronizują ramki żądań Pingora z serwerami backendowymi.
Wykryto podatność na oszustwa w żądaniach HTTP (CWE-444) w obsłudze aktualizacji połączeń HTTP/1.1 przez Pingora. Problem występuje, gdy proxy Pingora odczytuje żądanie zawierające nagłówek Upgrade, co pozwala na przesłanie złośliwego ładunku do backendu przed zaakceptowaniem aktualizacji.
Aplikacja Files w Open OnDemand w wersjach przed 4.0.9 i 4.1.3 jest podatna na złośliwe dane wejściowe podczas nawigacji do katalogu. Problem ten został naprawiony w wersjach 4.0.9 i 4.1.3, a wcześniejsze wersje pozostają podatne.
Wersje pac4j-jwt przed 4.5.9, 5.7.9 i 6.3.3 zawierają podatność na obejście uwierzytelniania w JwtAuthenticator podczas przetwarzania zaszyfrowanych JWT. Umożliwia to zdalnym atakującym fałszowanie tokenów uwierzytelniających.
W podatności CVE-2025-70222 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcjach goform/formLogin oraz goform/getAuthCode.
Aplikacja blogowa XWiki umożliwia użytkownikom platformy XWiki tworzenie i zarządzanie postami blogowymi. Wersje przed 9.15.7 są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuł posta, ponieważ tytuł jest wstrzykiwany bezpośrednio do tagu HTML <title> bez odpowiedniego escapingu.
W podatności CVE-2025-70225 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curtime w komponencie goform/formEasySetupWWConfig.
W podatności CVE-2025-70221 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formLogin.
D-link Dir-513 A1FW110 jest podatny na przepełnienie bufora w funkcji formTcpipSetup. Ta podatność może prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.
Niewystarczająca walidacja danych w nawigacji w Google Chrome przed wersją 145.0.7632.159 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W podatności CVE-2025-70219 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez interfejs goform/formDeviceReboot.
W podatności CVE-2025-70226 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formEasySetupWizard.
W podatności CVE-2025-70223 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formAdvNetwork.
Podatność w interfejsie zarządzania opartym na sieci web oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na wykonanie dowolnego kodu Java jako root na podatnym urządzeniu. Problem wynika z niebezpiecznej deserializacji strumienia bajtów Java dostarczonego przez użytkownika.

