CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Grupa powiązanych podatności typu buffer overflow w ładowaniu modeli ExecuTorch może prowadzić do awarii środowiska uruchomieniowego oraz potencjalnie umożliwić wykonanie kodu lub inne niepożądane efekty. Problem dotyczy wersji ExecuTorch przed commit'em cea9b23aa8ff78aff92829a466da97461cc7930c.
Podatność związana z dostępem poza granice w ładowaniu modeli ExecuTorch może prowadzić do awarii czasu wykonywania oraz potencjalnie umożliwić wykonanie kodu lub inne niepożądane efekty. Problem dotyczy wersji ExecuTorch przed commit b6b7a16df5e7852d976d8c34c8a7e9a1b6f7d005.
W podatności CVE-2025-54949 występuje przepełnienie bufora na stercie podczas ładowania modeli ExecuTorch, co może prowadzić do wykonania kodu lub innych niepożądanych skutków. Problem dotyczy wersji ExecuTorch przed commit'em ede82493dae6d2d43f8c424e7be4721abe5242be.
Podatność na przepełnienie całkowitej liczby całkowitej w ładowaniu modeli ExecuTorch może prowadzić do umieszczania obiektów poza przydzielonym obszarem pamięci, co może skutkować wykonaniem kodu lub innymi niepożądanymi efektami. Problem dotyczy wersji ExecuTorch przed commit 0830af8207240df8d7f35b984cdf8bc35d74fa73.
Podatność na przepełnienie całkowitej liczby w trakcie ładowania modeli ExecuTorch może prowadzić do nakładających się alokacji, co potencjalnie skutkuje wykonaniem kodu lub innymi niepożądanymi efektami. Problem dotyczy wersji ExecuTorch przed commit d158236b1dc84539c1b16843bc74054c9dcba006.
Wersja 3.0.0.beta1 biblioteki ruby-jwt zawiera słabą kryptografię. Producent zauważa, że rozmiar klucza nie jest egzekwowany przez tę bibliotekę, co może prowadzić do problemów z bezpieczeństwem.
W urządzeniach Marbella KR8s Dashcam w wersji 2.0.8 odkryto problem związany z dostępem do nagrań wideo. Po uzyskaniu dostępu za pomocą domyślnych, powszechnych lub złamanych haseł, nagrania wideo i audio mogą być pobierane przez otwarcie gniazda na porcie komend 7777.
Urządzenia CL4/6NX Plus oraz CL4/6NX-J Plus (model japoński) z wersjami oprogramowania układowego przed 1.15.5-r1 umożliwiają przesyłanie stworzonych złośliwych plików. Na systemie może zostać wykonany dowolny skrypt Lua z uprawnieniami roota.
Wtyczka Reveal Listing autorstwa smartdatasoft dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.3 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'listing_user_role'.
Biblioteka react-native-bottom-tabs w wersjach 0.9.2 i poniżej miała lukę w GitHub Actions, która pozwalała na wykonanie nieufnego kodu z zewnętrznego pull requesta w kontekście z uprawnieniami. Atakujący mógł stworzyć pull request z złośliwym skryptem preinstall w pliku package.json, co prowadziło do wykonania dowolnego kodu.
Foxit Reader versions through 5.4.5.0114, including the bundled Foxit Reader Plugin 2.2.1.530, contains a stack-based buffer overflow vulnerability in the npFoxitReaderPlugin.dll module. Loading a PDF file from a remote host with an overly long query string in the URL can overflow a buffer, allowing remote attackers to execute arbitrary code.
The WP-Property plugin for WordPress up to version 1.35.0 contains an unauthenticated file upload vulnerability in the `uploadify.php` script. A remote attacker can upload arbitrary PHP files to a temporary directory without authentication, leading to remote code execution.
W Zscalerze wystąpiła nieprawidłowa weryfikacja podpisu kryptograficznego w mechanizmie uwierzytelniania SAML po stronie serwera, co umożliwiło nadużycie uwierzytelnienia.
ADOdb to biblioteka klas PHP do obsługi baz danych, która w wersjach 5.22.9 i niższych ma problem z niewłaściwym escapowaniem parametrów zapytań. Może to pozwolić atakującemu na wykonanie dowolnych instrukcji SQL, gdy kod korzystający z ADOdb łączy się z bazą danych sqlite3 i wywołuje metody metaColumns(), metaForeignKeys() lub metaIndexes() z nieodpowiednio skonstruowaną nazwą tabeli.
Nieprawidłowa walidacja danych wejściowych w niektórych urządzeniach UniFi Access może umożliwić atak typu Command Injection przez złośliwego aktora mającego dostęp do sieci zarządzania UniFi Access.
Unisite CMS w wersji 5.0 zawiera podatność typu Cross-Site Scripting (XSS) w funkcjonalności 'Raport'. Złośliwy skrypt przesłany przez atakującego jest renderowany w panelu administracyjnym, co umożliwia przejęcie sesji administratora oraz wykonanie złośliwego kodu na serwerze.
A Boolean-based SQL injection vulnerability was discovered in Axelor 5.2.4 via the _domain parameter. An attacker can manipulate the SQL query logic and determine true/false conditions, potentially leading to data exposure or further exploitation.
An arbitrary file upload vulnerability in ZKEACMS v4.1 allows attackers to execute arbitrary code via a crafted file.
A command injection vulnerability was discovered in the TOTOLINK N600R router running firmware version V4.3.0cu.7647_B20210106. The issue resides in the setWiFiWpsConfig function via the pin parameter.
Wtyczka Brave Conversion Engine (PRO) dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 0.7.7. Problem wynika z niewłaściwego ograniczenia tożsamości podczas uwierzytelniania z Facebookiem.

