CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-30633
Critical

Podatność CVE-2025-30633 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Amazon Native Shopping Recommendations. Problem ten dotyczy wersji od n/a do 1.3.

CVE-2025-64123
Critical

W Nuvation Energy Multi-Stack Controller (MSC) występuje niezamierzona podatność typu Proxy lub Intermediary, która umożliwia mostkowanie granic sieci. Problem ten dotyczy wersji Multi-Stack Controller (MSC) od 2.5.1 włącznie.

CVE-2025-64121
Critical

Podatność CVE-2025-64121 w kontrolerze Multi-Stack (MSC) firmy Nuvation Energy umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji kontrolera MSC od 2.3.8 do przed 2.5.1.

CVE-2025-67268
Critical

In gpsd before commit dc966aa, a heap-based out-of-bounds write vulnerability exists in the drivers/driver_nmea2000.c file. The hnd_129540 function, handling NMEA2000 PGN 129540 packets, fails to validate the user-supplied satellite count against the skyview array size (184 elements). This allows an attacker to write beyond the array bounds by providing a satellite count up to 255, leading to memory corruption, Denial of Service (DoS), and potentially arbitrary code execution.

CVE-2025-14998
Critical

Wtyczka Branda dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.4.24. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-15114
Critical

Ksenia Security lares (model starszy) w wersji 1.6 zawiera krytyczną lukę bezpieczeństwa, która ujawnia PIN systemu alarmowego w pliku XML 'basisInfo' po uwierzytelnieniu. Atakujący mogą uzyskać PIN z odpowiedzi serwera, co pozwala na ominięcie zabezpieczeń i dezaktywację systemu alarmowego bez dodatkowego uwierzytelnienia.

CVE-2025-15113
Critical

Model Ksenia Security lares (legacy) systemu automatyki domowej w wersji 1.6 zawiera podatność na niechroniony punkt końcowy, który pozwala uwierzytelnionym atakującym na przesyłanie binarnych obrazów systemu plików MPFS. Atakujący mogą wykorzystać tę podatność do nadpisania pamięci programu flash i potencjalnego wykonania dowolnego kodu na serwerze WWW systemu automatyki domowej.

CVE-2025-15111
Critical

Model legacy Ksenia Security lares w wersji 1.6 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia nieautoryzowanym atakującym uzyskanie dostępu administracyjnego. Atakujący mogą wykorzystać słabe domyślne dane administracyjne, aby przejąć pełną kontrolę nad systemem automatyki domowej.

CVE-2022-50803
Critical

JM-DATA ONU JF511-TV w wersji 1.0.67 wykorzystuje domyślne dane logowania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu do urządzenia z uprawnieniami administratora.

CVE-2025-66848
CriticalEPSS 56%

JD Cloud NAS routers AX1800, AX3000, AX6600, BE6500, ER1, and ER2 in specific firmware versions contain an unauthorized remote command execution vulnerability. An attacker can exploit this flaw without authentication, leading to full device compromise.

CVE-2025-52835
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w ConoHa przez GMO WING WordPress Migrator umożliwia przesyłanie powłok sieciowych na serwer WWW. Problem dotyczy WING WordPress Migrator w wersjach od n/a do 1.2.0 włącznie.

CVE-2025-15255
Critical

W podatności CVE-2025-15255 zidentyfikowano problem w urządzeniu Tenda W6-S 1.0.0.4(510), który dotyczy nieznanej funkcji pliku /bin/httpd komponentu R7websSsecurityHandler. Manipulacja argumentem Cookie może prowadzić do przepełnienia bufora na stosie.

CVE-2025-68860
Critical

Podatność CVE-2025-68860 dotyczy Mobile Builder, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.4.2 włącznie.

CVE-2025-68562
Critical

Podatność CVE-2025-68562 w MapSVG firmy RomanCode umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji MapSVG od n/a do 8.7.3.

CVE-2025-69201
Critical

Tugtainer to aplikacja do automatyzacji aktualizacji kontenerów Docker. W wersjach przed 1.15.1 istnieje możliwość wstrzykiwania dowolnych argumentów w `POST api/command/run` w tugtainer-agent, co stanowi poważne zagrożenie.

CVE-2025-68897
Critical

W podatności CVE-2025-68897 występuje niewłaściwa kontrola generacji kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce IF AS Shortcode w wersjach od n/a do 1.2. Problem ten może być wykorzystany przez atakujących do wykonania nieautoryzowanego kodu.

CVE-2025-68952
Critical

W wersji 0.0.60 systemu Eigent zidentyfikowano podatność na zdalne wykonanie kodu (RCE) przy użyciu jednego kliknięcia. Ta podatność umożliwia atakującemu wykonanie dowolnego kodu na maszynie lub serwerze ofiary.

CVE-2025-66203
Critical

StreamVault to rozwiązanie do integracji pobierania wideo. Przed wersją 251126 występuje podatność na zdalne wykonanie kodu (RCE) w aplikacji stream-vault (SpiritApplication), która pozwala administratorom na konfigurowanie argumentów yt-dlp bez odpowiedniej walidacji.

CVE-2025-8769
Critical

Aplikacja internetowa Telenium Online jest podatna z powodu skryptu Perl, który jest wywoływany do załadowania strony logowania. Z powodu niewłaściwej walidacji danych wejściowych, atakujący może wstrzyknąć dowolny kod Perl poprzez spreparowane żądanie HTTP, co prowadzi do zdalnego wykonania kodu na serwerze.

CVE-2019-25249
Critical

Podatność CVE-2019-25249 dotyczy urządzenia devolo dLAN 500 AV Wireless+ w wersji 3.1.0-1, które zawiera lukę umożliwiającą obejście uwierzytelniania. Atakujący mogą włączyć ukryte usługi za pomocą skryptu htmlmgr CGI, co pozwala na uzyskanie dostępu do urządzenia bez hasła.

PreviousPage 196 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS