CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-68615
Critical

net-snmp to biblioteka aplikacji SNMP, narzędzia i demon. Przed wersjami 5.9.5 i 5.10.pre2, specjalnie skonstruowany pakiet wysłany do demona snmptrapd może spowodować przepełnienie bufora i awarię demona.

CVE-2025-65856
Critical

An authentication bypass vulnerability in Xiongmai XM530 IP cameras running Firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation fails to enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access.

CVE-2025-67418
Critical

ClipBucket 5.5.2 is shipped with hardcoded default administrative credentials. An unauthenticated remote attacker can log in to the admin panel, gaining full administrative control of the application.

CVE-2025-67288
Critical

An arbitrary file upload vulnerability in Umbraco CMS v16.3.3 allows attackers to execute arbitrary code by uploading a crafted PDF file. The supplier disputes this, stating that file validation is the administrator's responsibility and that PDF JavaScript runs in an isolated sandbox.

CVE-2025-67289
Critical

An arbitrary file upload vulnerability in the Attachments module of Frappe Framework v15.89.0 allows attackers to execute arbitrary code by uploading a crafted XML file.

CVE-2025-15016
Critical

Baza danych w chmurze przedsiębiorstwa opracowana przez Ragic zawiera podatność na twardo zakodowany klucz kryptograficzny, co pozwala nieautoryzowanym atakującym zdalnie wykorzystać ten stały klucz do generowania informacji weryfikacyjnych i logowania się do systemu jako dowolny użytkownik.

CVE-2025-15006
Critical

Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18. Podatność dotyczy nieznanej funkcjonalności pliku /goform/CheckTools w komponencie obsługi żądań HTTP, co prowadzi do przepełnienia bufora na stosie.

CVE-2025-13619
Critical

Wtyczka Flex Store Users dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.1.0 włącznie. Problem wynika z braku ograniczeń w funkcjach 'fsUserHandle::signup' oraz 'fsSellerRole::add_role_seller', co pozwala nieautoryzowanym atakującym na rejestrację z rolą 'administrator'.

CVE-2025-13329
Critical

Wtyczka File Uploader dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji zwrotnej dla punktu końcowego REST API 'add-image-data' we wszystkich wersjach do 1.0.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików do usługi Uploadcare.

CVE-2025-68613
Critical

n8n to platforma automatyzacji procesów roboczych typu open source. Wersje od 0.211.0 do 1.120.4, 1.121.1 i 1.122.0 zawierają krytyczną podatność na zdalne wykonanie kodu (RCE) w systemie oceny wyrażeń procesów roboczych, co może umożliwić atakującym wykonanie dowolnego kodu.

CVE-2023-53959
Critical

Klient FileZilla w wersji 3.63.1 zawiera podatność na hijacking DLL, która umożliwia atakującym wykonanie złośliwego kodu poprzez umieszczenie spreparowanego pliku TextShaping.dll w katalogu aplikacji. Atakujący mogą wykorzystać msfvenom do wygenerowania ładunku odwrotnego shell'a i zastąpienia brakującego DLL, co prowadzi do zdalnego wykonania kodu przy uruchomieniu aplikacji.

CVE-2023-53957
Critical

Kimai w wersji 1.30.10 zawiera podatność na ciasteczka SameSite, która umożliwia atakującym kradzież ciasteczek sesyjnych użytkowników poprzez złośliwe wykorzystanie. Atakujący mogą oszukać ofiary, aby wykonały spreparowany skrypt PHP, który przechwytuje i zapisuje informacje o ciasteczkach sesyjnych do pliku.

CVE-2023-53951
Critical

Ever Gauzy w wersji 0.281.9 zawiera podatność na uwierzytelnianie JWT, która pozwala atakującym wykorzystać słabą implementację klucza HMAC. Atakujący mogą wykorzystać ujawniony token JWT do uwierzytelnienia i uzyskania nieautoryzowanego dostępu z uprawnieniami administratora.

CVE-2023-53950
Critical

InnovaStudio WYSIWYG Editor w wersji 5.4 zawiera podatność na nieograniczone przesyłanie plików, która pozwala atakującym na obejście ograniczeń dotyczących rozszerzeń plików poprzez manipulację nazwą pliku. Atakujący mogą przesyłać złośliwe powłoki ASP, wykorzystując techniki null byte oraz alternatywne rozszerzenia plików.

CVE-2023-53948
Critical

Lilac-Reloaded w wersji 2.0.8 dla Nagios zawiera podatność na zdalne wykonanie kodu w funkcji autodiscovery, która pozwala atakującym na wstrzykiwanie dowolnych poleceń. Wykorzystując brak filtrowania wejścia w parametrze nmap_binary, atakujący mogą wykonać powłokę zwrotną, wysyłając odpowiednio skonstruowane żądanie POST do punktu końcowego autodiscovery.

CVE-2024-49587
Critical

Punkty końcowe usługi Glutton V1 były dostępne bez jakiejkolwiek autoryzacji w stosach Gotham, co mogło umożliwić użytkownikom bez odpowiednich uprawnień bezpośredni dostęp do backendu glutton i możliwość odczytu, aktualizacji lub usunięcia danych. Usługa została załatana i automatycznie wdrożona we wszystkich instancjach Gotham zarządzanych przez Apollo.

CVE-2025-1928
Critical

Podatność CVE-2025-1928 dotyczy systemu zamówień online firmy Restajet Information Technologies Inc. i polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia wykorzystanie funkcji odzyskiwania hasła.

CVE-2025-68398
Critical

Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach przed 5.15.1 istniała możliwość zdalnego nadpisania konfiguracji Git oraz zmiany niektórych jego zachowań. Wersja 5.15.1 naprawia ten problem.

CVE-2025-56157
CriticalEPSS 52%

Dify up to version 1.5.1 includes default PostgreSQL credentials (username and password) in its docker-compose.yaml file. The vendor reports that PostgreSQL is not exposed on TCP port 5432 by default since version 1.0.1.

CVE-2025-64236
Critical

Podatność CVE-2025-64236 w AmentoTech Tuturn umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Tuturn przed 3.6.

PreviousPage 198 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS