CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.
Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.
The Access Point functionality in EZCast Pro II before version 1.17478.177 has a predictable default Wi-Fi password, allowing attackers within Wi-Fi range to gain access to the device by calculating the default password from observable device identifiers.
In EZCast Pro II versions before 1.17478.177, hard-coded cryptographic keys in the admin UI allow attackers to bypass authorization checks and gain full access to the admin UI.
Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.
PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.
Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.
Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.
Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.
In OpenMPTCProuter up to version 0.64, a vulnerability was found in the file common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c in the function create_xor_ipad_opad, allowing potential arbitrary file writes or arbitrary command execution.
An improper verification of cryptographic signature vulnerability exists in Fortinet FortiWeb versions 8.0.0, 7.6.0 through 7.6.4, and 7.4.0 through 7.4.9. This may allow an unauthenticated attacker to bypass FortiCloud SSO login authentication via a crafted SAML response message.
A vulnerability in Fortinet FortiOS, FortiProxy, and FortiSwitchManager related to improper verification of cryptographic signature allows an unauthenticated attacker to bypass FortiCloud SSO login authentication via a crafted SAML response message.
CSLA .NET to framework przeznaczony do tworzenia wielokrotnego użytku obiektowych warstw biznesowych dla aplikacji. Wersje 5.5.4 i niższe umożliwiają użycie WcfProxy, które jest podatne na zdalne wykonanie kodu podczas deserializacji z powodu użycia przestarzałego NetDataContractSerializer (NDCS).
W określonych warunkach, użytkownik z wysokimi uprawnieniami może wykorzystać podatność na deserializację w SAP jConnect do uruchomienia zdalnego kodu. Wykorzystanie specjalnie przygotowanego wejścia może prowadzić do poważnych konsekwencji dla poufności, integralności i dostępności systemu.
Z powodu braku sanitacji danych wejściowych, SAP Solution Manager pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Podatność CVE-2025-14330 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.
Podatność typu use-after-free w komponencie Audio/Video: GMP. Została naprawiona w wersjach Firefox 146 i Thunderbird 146.
Podatność CVE-2025-14324 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 115.31, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

