CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2018-25393
Medium

Navigate CMS w wersji 2.8.5 zawiera podatność na traversję ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez wstrzykiwanie sekwencji traversji w parametrze id. Atakujący mogą wysyłać żądania GET do navigate_download.php z ładunkami traversji, aby uzyskać dostęp do wrażliwych plików konfiguracyjnych i systemowych poza zamierzonym katalogiem.

CVE-2018-25387
Medium

HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.

CVE-2018-25384
Medium

Wikidforum version 2.20 contains a cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted HTML in the reply_text parameter.

CVE-2026-41159
Medium

A vulnerability in Mermaid (versions before 10.9.6 and 11.15.0) allows CSS injection outside the diagram scope via the fontFamily, themeCSS, and altFontFamily configuration options. The injected CSS exploits stylis's scope reference handling to bypass automatic scoping, enabling page defacement and DOM attribute exfiltration using CSS :has() selectors.

CVE-2026-41150
Medium

Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.

CVE-2026-49325
Medium

A vulnerability in the Indian Motorcycle Scout Bobber + Tech (2025 model year) allows a physical attacker with access to the Wireless Control Module (WCM) wiring harness to bypass the anti-theft shutdown. The WCM signals shutdown to a peer ECU via a falling-edge voltage transition on a dedicated wire pair, but the receiving ECU does not distinguish between an active shutdown pulse and an open-circuit/disconnected condition. Interrupting the relevant wires leaves the motorcycle fully operable even though the WCM never validated the rider's PIN.

CVE-2026-49316
Medium

A vulnerability in the in-vehicle network of the Indian Motorcycle Scout Bobber + Tech (2025 model) allows an adjacent-network attacker to bypass the anti-theft shutdown by forcing the WCM into CAN bus-off state. Using CAN error-frame injection, the attacker stops all WCM transmissions, including the shutdown command. Peer ECUs do not treat WCM silence as a security event and continue normal operation, enabling motorcycle operation without immobilizer unlock.

CVE-2026-47696
Medium

AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.

CVE-2026-47694
Medium

WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.

CVE-2026-46337
Medium

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.

CVE-2026-45731
Medium

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.

CVE-2026-45620
Medium

WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.

CVE-2026-45619
Medium

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.

CVE-2026-45610
Medium

AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na atak typu cross-site request forgery (CSRF) w funkcji przełączania 2FA. Wtyczka plugin/LoginControl/set.json.php akceptuje żądania POST typu set2FA z wartością false, co pozwala na wyłączenie 2FA dla zalogowanego użytkownika bez odpowiednich zabezpieczeń.

CVE-2026-45582
Medium

n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. Przed wersją 2.51.3, sanitarz telemetrii workflow mógł zachować częściowe fragmenty parametrów węzłów w formacie URL przed wysłaniem danych workflow do anonimowego backendu telemetrii projektu.

CVE-2026-45580
Medium

AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na przechowywane ataki typu cross-site scripting. Wtyczka Live renderuje klucz strumienia transmisji na stronie HTML bez odpowiedniego zabezpieczenia, co pozwala na wykonanie złośliwego kodu JavaScript przez odwiedzających stronę.

CVE-2026-10075
Medium

DreamMaker opracowany przez Interinfo ma podatność na przejście ścieżki, która pozwala nieautoryzowanym zdalnym atakującym na odczyt nazw plików w dowolnej ścieżce, wykorzystując podatność na absolutne przejście ścieżki.

CVE-2026-10074
Medium

DreamMaker opracowany przez Interinfo ma podatność na odczyt dowolnych plików, która pozwala uprzywilejowanym lokalnym atakującym wykorzystać przejście przez względną ścieżkę do pobrania dowolnych plików systemowych.

CVE-2026-10061
Medium

Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWPS w pliku /goform/formWPS. Manipulacja argumentem peerPin prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10060
Medium

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSetRoute w pliku /goform/formSetRoute. Manipulacja argumentami ip/mask/gateway prowadzi do możliwości wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.

PreviousPage 203 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS