CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-37184
Critical

W usłudze Orchestrator występuje podatność, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na ominięcie wymagań dotyczących uwierzytelniania wieloskładnikowego. Udana eksploitacja może umożliwić atakującemu utworzenie konta użytkownika z uprawnieniami administratora bez konieczności przechodzenia przez uwierzytelnianie wieloskładnikowe.

CVE-2026-22238
Critical

Podatność CVE-2026-22238 występuje w BLUVOYIX z powodu niewłaściwej autoryzacji w interfejsach API administracyjnych. Zdalny atakujący bez uwierzytelnienia może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do podatnego API administracyjnego, aby utworzyć nowego użytkownika z uprawnieniami administratora.

CVE-2026-22237
Critical

Podatność CVE-2026-22237 występuje w BLUVOYIX z powodu ujawnienia wrażliwej dokumentacji wewnętrznych API. Nieautoryzowany zdalny atakujący może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do API ujawnionych w dokumentacji.

CVE-2026-22236
Critical

Podatność występuje w BLUVOYIX z powodu niewłaściwej autoryzacji w interfejsach API backendu. Zdalny atakujący bez uwierzytelnienia może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do podatnych interfejsów API.

CVE-2026-23550
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Modular DS modular-connector umożliwia eskalację uprawnień. Problem ten dotyczy wersji Modular DS od n/a do 2.5.1 włącznie.

CVE-2025-14502
Critical

Wtyczka News and Blog Designer Bundle dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do i włącznie z 1.1 poprzez parametr szablonu. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2025-14301
Critical

Wtyczka Integration Opvius AI dla WooCommerce w WordPressie jest podatna na atak typu Path Traversal we wszystkich wersjach do 1.3.0 włącznie. Problem wynika z funkcji `process_table_bulk_actions()`, która przetwarza ścieżki plików dostarczone przez użytkowników bez odpowiednich kontroli uwierzytelnienia, weryfikacji nonce lub walidacji ścieżek.

CVE-2026-22686
Critical

Enclave to bezpieczny sandbox JavaScript zaprojektowany do bezpiecznego wykonywania kodu agentów AI. W wersjach przed 2.7.0 występuje krytyczna podatność na ucieczkę z sandboxa w enclave-vm, która pozwala na wykonanie dowolnego kodu w hostującym środowisku Node.js przez nieufny kod JavaScript.

CVE-2023-54339
Critical

Webgrind w wersji 1.1 zawiera podatność na zdalne wykonanie poleceń, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń systemowych za pomocą parametru dataFile w pliku index.php. Atakujący mogą wykonywać dowolne polecenia systemowe, manipulując tym parametrem.

CVE-2023-54335
Critical

eXtplorer w wersji 2.1.14 zawiera podatność na obejście uwierzytelniania, która pozwala atakującym na logowanie bez hasła poprzez manipulację żądaniem logowania. Wykorzystując tę lukę, atakujący mogą przesyłać złośliwe pliki PHP i wykonywać zdalne polecenia w podatnym systemie zarządzania plikami.

CVE-2022-50935
Critical

Modem Flame II HSPA USB zawiera podatność na niecytowaną ścieżkę usługi w konfiguracji usługi Windows. Atakujący mogą wykorzystać tę niecytowaną ścieżkę w 'C:\Program Files (x86)\Internet Telcel\ApplicationController.exe', aby wykonać dowolny kod z podwyższonymi uprawnieniami systemowymi.

CVE-2022-50926
Critical

Oprogramowanie WAGO 750-8212 PFC200 G2 2ETH RS zawiera podatność na eskalację uprawnień, która pozwala atakującym na manipulację ciasteczkami sesji użytkownika. Atakujący mogą zmodyfikować parametry 'name' i 'roles' ciasteczka, aby uzyskać uprawnienia administratora bez konieczności uwierzytelnienia.

CVE-2022-50922
Critical

Audio Conversion Wizard w wersji 2.01 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie pamięci specjalnie skonstruowanym kodem rejestracyjnym. Atakujący mogą wygenerować ładunek, który nadpisuje stos pamięci aplikacji, co potencjalnie umożliwia zdalne wykonanie kodu.

CVE-2022-50912
Critical

ImpressCMS w wersji 1.4.4 zawiera podatność na przesyłanie plików z słabą sanitizacją rozszerzeń, co pozwala atakującym na przesyłanie potencjalnie złośliwych plików. Atakujący mogą obejść ograniczenia przesyłania plików, używając alternatywnych rozszerzeń plików, takich jak .php2, .php6, .php7, .phps, .pht, aby wykonać dowolny kod PHP na serwerze.

CVE-2022-50910
Critical

Beehive Forum w wersji 1.5.2 zawiera podatność na wstrzykiwanie nagłówka hosta w funkcji resetowania hasła, co pozwala atakującym manipulować żądaniami resetowania haseł. Atakujący mogą wstrzyknąć złośliwy nagłówek hosta, aby przechwycić tokeny resetowania haseł i zmienić hasła kont ofiar bez bezpośredniej autoryzacji.

CVE-2022-50895
Critical

Aero CMS w wersji 0.0.1 zawiera podatność na wstrzykiwanie SQL w parametrze autora, co pozwala atakującym na manipulację zapytaniami do bazy danych. Wykorzystując techniki oparte na booleanach, błędach, czasie oraz zapytania UNION, atakujący mogą uzyskać dostęp do wrażliwych informacji z bazy danych.

CVE-2026-23478
Critical

Cal.com to oprogramowanie do planowania z otwartym kodem źródłowym. W wersjach od 3.1.6 do przed 6.0.7 występuje podatność w niestandardowym wywołaniu zwrotnym NextAuth JWT, która pozwala atakującym uzyskać pełny dostęp do konta dowolnego użytkownika, podając docelowy adres e-mail za pomocą session.update().

CVE-2025-68271
Critical

OpenC3 COSMOS w wersjach od 5.0.0 do 6.10.1 zawiera krytyczną podatność na zdalne wykonanie kodu, dostępną przez API JSON-RPC. Atakujący może wykorzystać nieautoryzowane żądania do wykonania kodu Ruby, mimo że żądanie kończy się niepowodzeniem autoryzacji (401).

CVE-2026-20963
Critical

Deserializacja nieufnych danych w Microsoft Office SharePoint umożliwia nieautoryzowanemu atakującemu wykonanie kodu w sieci.

CVE-2025-47855
Critical

W podatności CVE-2025-47855 w Fortinet FortiFone w wersjach 7.0.0 do 7.0.1 oraz 3.0.13 do 3.0.23 występuje ujawnienie wrażliwych informacji osobom nieuprawnionym. Atakujący bez uwierzytelnienia może uzyskać konfigurację urządzenia za pomocą spreparowanych żądań HTTP lub HTTPS.

PreviousPage 192 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS