CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność w interfejsie webowym oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na ominięcie uwierzytelnienia i wykonanie plików skryptowych na podatnym urządzeniu, co umożliwia uzyskanie dostępu root do systemu operacyjnego.
W podatności CVE-2025-70220 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formAutoDetecWAN_wizard4.
W podatności CVE-2025-70218 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez wysłanie żądania POST do komponentu goform/formAdvFirewall.
Craft to system zarządzania treścią (CMS), który przed wersjami 5.9.0-beta.1 i 4.17.0-beta.1 implementował listę blokującą, aby zapobiec wywoływaniu potencjalnie niebezpiecznych funkcji PHP przez funkcje strzałkowe Twig. Wiele funkcji PHP nie zostało uwzględnionych na liście blokującej, co może umożliwić atakującym wykonanie różnych typów ładunków, w tym RCE, odczytów plików, SSRF i SSTI.
Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.
Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.
Podatność typu SQL Injection w wersji 1.0.7 i wcześniejszych w bazie danych vran-dev umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr zapytania w punkcie końcowym API wyszukiwania.
Problem w komponencie HwRwDrv.sys narzędzia Nil Hardware Editor Hardware Read & Write Utility w wersji 1.25.11.26 i wcześniejszych umożliwia atakującym wykonywanie dowolnych operacji odczytu i zapisu za pomocą spreparowanego żądania.
W urządzeniach Mobvoi Tichome Mini (modele 012-18853 i 027-58389) występuje podatność na wstrzykiwanie poleceń powłoki, która umożliwia zdalnym atakującym wysyłanie specjalnie przygotowanych datagramów UDP i wykonywanie dowolnego kodu powłoki jako konto root.
Wersja 3.4.2 i wcześniejsze 2N Access Commander niewłaściwie unieważniają tokeny sesji, co pozwala na utrzymanie aktywnych wielu ciasteczek sesyjnych po wylogowaniu z aplikacji webowej.
Missing Authentication for Critical Function (CWE-306) in Apache Artemis and Apache ActiveMQ Artemis. An unauthenticated remote attacker can use the Core protocol to force a target broker to establish an outbound Core federation connection to an attacker-controlled rogue broker. This could potentially result in message injection into any queue and/or message exfiltration from any queue via the rogue broker.
SEPPmail Secure Email Gateway przed wersją 15.0.1 niewystarczająco neutralizuje hasło szyfrowania PDF, co umożliwia wykonanie poleceń systemowych.
Odbiornik satelitarny SFX Series SuperFlex (SFX2100) firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane i niebezpieczne dane logowania dla konta `admin`. Zdalny, nieautoryzowany atakujący może wykorzystać te nieudokumentowane dane logowania do bezpośredniego dostępu do systemu satelitarnego za pośrednictwem usługi Telnet.
Odbiornik satelitarny SFX Series SuperFlex firmy International Datacasting Corporation (IDC) zawiera nieudokumentowane, twardo zakodowane/niebezpieczne dane logowania dla konta użytkownika `xd`. Zdalny, nieautoryzowany atakujący może zalogować się przez FTP, wykorzystując te dane.
Odbiornik satelitarny SFX2100 firmy International Datacasting Corporation (IDC) posiada trywialne hasło dla konta `user` (usr). Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu SSH do systemu.
Odbiornik satelitarny SuperFlex serii SFX firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane dane logowania dla konta `monitor`. Zdalny, nieautoryzowany atakujący może wykorzystać te proste, nieudokumentowane dane logowania do uzyskania dostępu do systemu przez SSH.
W usłudze SNMP w odbiorniku satelitarnym SFX Series SuperFlex firmy International Datacasting Corporation (IDC) występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Domyślnie, usługa ta niebezpiecznie udostępnia `private` ciąg społeczności SNMP z dostępem do odczytu i zapisu, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych z uprawnieniami roota.
W podatności CVE-2026-3266 w OpenText™ Filr występuje brak autoryzacji, co umożliwia obejście uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom uzyskanie tokena XSRF i wykonywanie zdalnych wywołań procedur (RPC) za pomocą starannie przygotowanych programów.
FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach FreeScout 1.8.206 i wcześniejszych występuje luka umożliwiająca zdalne wykonanie kodu (RCE) poprzez przesłanie złośliwego pliku .htaccess z prefiksem znaku zerowej szerokości, co omija zabezpieczenia.
Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

