CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2019-25240
Critical

Rifatron 5brid DVR zawiera podatność nieautoryzowaną w skrypcie animate.cgi, która umożliwia dostęp do transmisji wideo na żywo bez uwierzytelnienia. Atakujący mogą wykorzystać moduł Mobile Web Viewer, aby określając numery kanałów, uzyskać sekwencyjne zrzuty wideo bez konieczności logowania.

CVE-2019-25237
Critical

Platforma V-SOL GPON/EPON OLT w wersji 2.03 zawiera podatność na eskalację uprawnień, która pozwala zwykłym użytkownikom uzyskać dostęp administracyjny poprzez manipulację parametrem roli użytkownika. Atakujący mogą wysłać spreparowane żądanie HTTP POST do punktu końcowego zarządzania użytkownikami z ustawioną wartością 'user_role_mod' na '1', aby podnieść swoje uprawnienia.

CVE-2019-25236
Critical

iSeeQ Hybrid DVR WH-H4 w wersji 1.03R zawiera podatność nieautoryzowaną w skrypcie get_jpeg, która umożliwia dostęp do strumieni wideo na żywo. Atakujący mogą uzyskać zrzuty wideo z określonych kanałów kamer, wysyłając żądania do punktu końcowego /cgi-bin/get_jpeg bez autoryzacji.

CVE-2019-25235
Critical

Smartwares HOME easy w wersji 1.0.9 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do stron administracyjnych poprzez wyłączenie JavaScript. Atakujący mogą przechodzić do wielu punktów końcowych administracyjnych, omijając walidację po stronie klienta i uzyskując dostęp do wrażliwych informacji systemowych.

CVE-2018-25154
Critical

GNU Barcode w wersji 0.99 zawiera podatność na przepełnienie bufora w procesie kodowania Code 93, co pozwala atakującym na wywołanie uszkodzenia pamięci. Wykorzystując błędy graniczne podczas przetwarzania plików wejściowych, atakujący mogą potencjalnie wykonać dowolny kod na zaatakowanym systemie.

CVE-2018-25142
Critical

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

CVE-2018-25135
Critical

Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.

CVE-2018-25134
Critical

Synaccess netBooter NP-02x/NP-08x w wersji 6.8 zawiera podatność na obejście uwierzytelniania w skrypcie webNewAcct.cgi, która pozwala nieautoryzowanym atakującym na tworzenie kont użytkowników z uprawnieniami administratora. Atakujący mogą wykorzystać brak kontroli, wysyłając odpowiednio skonstruowane żądania POST.

CVE-2025-13773
Critical

Wtyczka Print Invoice & Delivery Notes dla WooCommerce w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.8.0 włącznie, przez funkcję 'WooCommerce_Delivery_Notes::update'. Brak weryfikacji uprawnień oraz nieprawidłowe zabezpieczenia w pliku 'template.php' umożliwiają nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2025-68669
Critical

W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.

CVE-2025-66209
Critical

Coolify to narzędzie typu open-source do zarządzania serwerami, aplikacjami i bazami danych. Przed wersją 4.0.0-beta.451 występowała podatność na wstrzyknięcie poleceń w funkcjonalności tworzenia kopii zapasowych baz danych, umożliwiająca użytkownikom z uprawnieniami do zarządzania aplikacjami/serwisami wykonywanie dowolnych poleceń jako root na zarządzanych serwerach.

CVE-2025-15047
Critical

W Tenda WH450 w wersji 1.0.0.18 odkryto podatność, która dotyczy nieznanej funkcji pliku /goform/PPTPDClient w komponencie obsługi żądań HTTP. Manipulacja argumentem Username prowadzi do przepełnienia bufora na stosie.

CVE-2025-14500
Critical

Podatność CVE-2025-14500 w IceWarp14 umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwego przetwarzania nagłówka X-File-Operation, co pozwala na wykonanie systemowego wywołania bez odpowiedniej walidacji.

CVE-2025-14931
Critical

Podatność CVE-2025-14931 w Hugging Face smolagents pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwej walidacji danych dostarczanych przez użytkownika podczas analizy danych pickle.

CVE-2025-67109
Critical

In Eclipse Cyclone DDS before version 0.10.5, improper verification of the time certificate allows attackers to bypass certificate checks and execute commands with System privileges.

CVE-2025-67108
Critical

eProsima Fast-DDS version 3.3 was found to have improper validation for ticket revocation, resulting in insecure communications and connections.

CVE-2025-14388
Critical

Wtyczka PhastPress dla WordPressa jest podatna na nieautoryzowane odczyty plików poprzez wstrzyknięcie bajtu null we wszystkich wersjach do 3.7 włącznie. Problem wynika z niezgodności w walidacji rozszerzeń, co umożliwia atakującym odczyt dowolnych plików z katalogu głównego, w tym wp-config.php.

CVE-2025-68615
Critical

net-snmp to biblioteka aplikacji SNMP, narzędzia i demon. Przed wersjami 5.9.5 i 5.10.pre2, specjalnie skonstruowany pakiet wysłany do demona snmptrapd może spowodować przepełnienie bufora i awarię demona.

CVE-2025-65856
Critical

An authentication bypass vulnerability in Xiongmai XM530 IP cameras running Firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation fails to enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access.

CVE-2025-67418
Critical

ClipBucket 5.5.2 is shipped with hardcoded default administrative credentials. An unauthenticated remote attacker can log in to the admin panel, gaining full administrative control of the application.

PreviousPage 197 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS