CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Navigate CMS w wersji 2.8.5 zawiera podatność na traversję ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez wstrzykiwanie sekwencji traversji w parametrze id. Atakujący mogą wysyłać żądania GET do navigate_download.php z ładunkami traversji, aby uzyskać dostęp do wrażliwych plików konfiguracyjnych i systemowych poza zamierzonym katalogiem.
HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.
Wikidforum version 2.20 contains a cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted HTML in the reply_text parameter.
A vulnerability in Mermaid (versions before 10.9.6 and 11.15.0) allows CSS injection outside the diagram scope via the fontFamily, themeCSS, and altFontFamily configuration options. The injected CSS exploits stylis's scope reference handling to bypass automatic scoping, enabling page defacement and DOM attribute exfiltration using CSS :has() selectors.
Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.
A vulnerability in the Indian Motorcycle Scout Bobber + Tech (2025 model year) allows a physical attacker with access to the Wireless Control Module (WCM) wiring harness to bypass the anti-theft shutdown. The WCM signals shutdown to a peer ECU via a falling-edge voltage transition on a dedicated wire pair, but the receiving ECU does not distinguish between an active shutdown pulse and an open-circuit/disconnected condition. Interrupting the relevant wires leaves the motorcycle fully operable even though the WCM never validated the rider's PIN.
A vulnerability in the in-vehicle network of the Indian Motorcycle Scout Bobber + Tech (2025 model) allows an adjacent-network attacker to bypass the anti-theft shutdown by forcing the WCM into CAN bus-off state. Using CAN error-frame injection, the attacker stops all WCM transmissions, including the shutdown command. Peer ECUs do not treat WCM silence as a security event and continue normal operation, enabling motorcycle operation without immobilizer unlock.
AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.
WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.
WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.
AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na atak typu cross-site request forgery (CSRF) w funkcji przełączania 2FA. Wtyczka plugin/LoginControl/set.json.php akceptuje żądania POST typu set2FA z wartością false, co pozwala na wyłączenie 2FA dla zalogowanego użytkownika bez odpowiednich zabezpieczeń.
n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. Przed wersją 2.51.3, sanitarz telemetrii workflow mógł zachować częściowe fragmenty parametrów węzłów w formacie URL przed wysłaniem danych workflow do anonimowego backendu telemetrii projektu.
AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na przechowywane ataki typu cross-site scripting. Wtyczka Live renderuje klucz strumienia transmisji na stronie HTML bez odpowiedniego zabezpieczenia, co pozwala na wykonanie złośliwego kodu JavaScript przez odwiedzających stronę.
DreamMaker opracowany przez Interinfo ma podatność na przejście ścieżki, która pozwala nieautoryzowanym zdalnym atakującym na odczyt nazw plików w dowolnej ścieżce, wykorzystując podatność na absolutne przejście ścieżki.
DreamMaker opracowany przez Interinfo ma podatność na odczyt dowolnych plików, która pozwala uprzywilejowanym lokalnym atakującym wykorzystać przejście przez względną ścieżkę do pobrania dowolnych plików systemowych.
Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWPS w pliku /goform/formWPS. Manipulacja argumentem peerPin prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w urządzeniu TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSetRoute w pliku /goform/formSetRoute. Manipulacja argumentami ip/mask/gateway prowadzi do możliwości wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.

