CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Zidentyfikowano podatność na obejście uwierzytelniania w niektórych routerach serii DSL, która może umożliwić zdalnym atakującym uzyskanie nieautoryzowanego dostępu do dotkniętego systemu.
A SQL injection vulnerability exists in the login functionality of WellSky Harmony version 4.1.0.2.83 within the 'xmHarmony.asp' endpoint. User-supplied input to the 'TXTUSERID' parameter is not properly sanitized before being incorporated into a SQL query. Successful exploitation may lead to authentication bypass, data leakage, or full system compromise of backend database contents.
Heap-based buffer overflow in Microsoft Graphics Component allows an unauthorized attacker to execute code over a network.
Podatność CVE-2025-13026 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.
Podatność CVE-2025-13024 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Problem ten został naprawiony w wersjach Firefox 145 oraz Thunderbird 145.
Podatność CVE-2025-13023 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.
W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.
W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.
Wersje 6170 i wcześniejsze oprogramowania Zohocorp ManageEngine Analytics Plus są podatne na nieautoryzowaną injekcję SQL z powodu niewłaściwej konfiguracji filtrów.
Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.
Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.
Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.
Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.
Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.
EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.
A flaw was found in Samba, in the front-end WINS hook handling: NetBIOS names from registration packets are passed to a shell without proper validation or escaping. Unsanitized NetBIOS name data from WINS registration packets are inserted into a shell command and executed by the Samba Active Directory Domain Controller's wins hook, allowing an unauthenticated network attacker to achieve remote command execution as the Samba process.
W systemie ycf1998 money-pos przed commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) występuje wiele podatności typu SQL injection, które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr orderby.
Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

