CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-4378
Critical

W aplikacji mobilnej ATA-AOF Uniwersytetu Atatürka występuje podatność związana z przesyłaniem wrażliwych informacji w postaci niezaszyfrowanej oraz używaniem twardo zakodowanych poświadczeń, co umożliwia nadużycie uwierzytelnienia oraz obejście procesu uwierzytelniania.

CVE-2025-4383
Critical

Podatność CVE-2025-4383 dotyczy niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia w Wi-Fi Cloud Hotspot firmy Art-in Bilişim Teknolojileri ve Yazılım Hizm. Tic. Ltd. Şti. Umożliwia to nadużycie uwierzytelnienia oraz obejście procesu uwierzytelniania.

CVE-2025-32977
Critical

Quest KACE Systems Management Appliance (SMA) w wersjach 13.0.x przed 13.0.385, 13.1.x przed 13.1.81, 13.2.x przed 13.2.183, 14.0.x przed 14.0.341 (Patch 5) oraz 14.1.x przed 14.1.101 (Patch 4) pozwala nieautoryzowanym użytkownikom na przesyłanie plików kopii zapasowej do systemu. Mimo że wprowadzono walidację podpisu, istnieją słabości w tym procesie, które mogą być wykorzystane do przesyłania złośliwej zawartości kopii zapasowej, co może zagrozić integralności systemu.

CVE-2025-32975
Critical

Podatność w Quest KACE Systems Management Appliance (SMA) umożliwia atakującym ominięcie uwierzytelniania i podszycie się pod prawdziwych użytkowników bez ważnych poświadczeń. Dotyczy wersji 13.0.x przed 13.0.385, 13.1.x przed 13.1.81, 13.2.x przed 13.2.183, 14.0.x przed 14.0.341 (Patch 5) oraz 14.1.x przed 14.1.101 (Patch 4).

CVE-2025-6433
Critical

Podatność CVE-2025-6433 pozwalała na wywołanie wyzwania WebAuthn na stronie z nieprawidłowym certyfikatem TLS, jeśli użytkownik zgodził się na wyjątek. To narusza specyfikację WebAuthN, która wymaga bezbłędnego ustanowienia bezpiecznego transportu.

CVE-2025-6427
Critical

Atakujący mógł obejść dyrektywę `connect-src` w Polityce Bezpieczeństwa Treści, manipulując poddokumentami. W wyniku tego połączenia byłyby ukryte w zakładce Sieć w narzędziach deweloperskich.

CVE-2025-6424
Critical

W podatności CVE-2025-6424 występuje błąd use-after-free w FontFaceSet, który może prowadzić do potencjalnie wykonalnego awarii. Problem został naprawiony w wersjach Firefox 140, Firefox ESR 115.25, Firefox ESR 128.12, Thunderbird 140 oraz Thunderbird 128.12.

CVE-2025-48890
Critical

Podatność CVE-2025-48890 dotyczy urządzeń WRH-733GBK i WRH-733GWH, które zawierają niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemu operacyjnego, co prowadzi do podatności na wstrzyknięcie poleceń systemowych w usłudze miniigd SOAP. Zdalny, nieautoryzowany atakujący może wysłać specjalnie przygotowane żądanie, co pozwala na wykonanie dowolnego polecenia systemowego.

CVE-2025-43879
Critical

WRH-733GBK i WRH-733GWH zawierają podatność na wstrzykiwanie poleceń systemowych ('OS Command Injection') w funkcji telnet, spowodowaną niewłaściwym neutralizowaniem specjalnych elementów. Zdalny, nieautoryzowany atakujący może wysłać specjalnie przygotowane żądanie, co może skutkować wykonaniem dowolnego polecenia systemowego.

CVE-2025-6560
Critical

Wiele modeli routerów bezprzewodowych firmy Sapido ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu i zdobyć hasła administratora w postaci niezaszyfrowanej.

CVE-2025-6559
Critical

Wiele modeli routerów bezprzewodowych od Sapido posiada podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonanie na serwerze. Affected models są już poza wsparciem.

CVE-2025-52562
Critical

Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.

CVE-2023-47031
Critical

A vulnerability in NCR Terminal Handler v.1.5.1 allows a remote attacker to escalate privileges via a crafted POST request to the grantRolesToUsers, grantRolesToGroups, and grantRolesToOrganization SOAP API components.

CVE-2025-6513
Critical

Standardowi użytkownicy systemu Windows mają dostęp do pliku konfiguracyjnego aplikacji BRAIN2, który służy do uzyskiwania dostępu do bazy danych, i mogą go odszyfrować.

CVE-2025-6512
Critical

Na kliencie z użytkownikiem niebędącym administratorem, skrypt może zostać zintegrowany z raportem. Raporty te mogą być później wykonywane na serwerze BRAIN2 z uprawnieniami administratora.

CVE-2025-52921
Critical

W wersji Innoshop do 0.4.1, uwierzytelniony atakujący może wykorzystać funkcje Menedżera Plików w panelu administracyjnym do wykonania kodu na serwerze, przesyłając spreparowany plik i zmieniając jego nazwę na .php. Obejście początkowej weryfikacji, która sprawdza, czy przesyłane pliki są plikami graficznymi, jest możliwe dzięki użyciu narzędzi proxy.

CVE-2024-45347
Critical

W aplikacji Xiaomi Mi Connect Service występuje podatność na nieautoryzowany dostęp. Problem wynika z błędnej logiki walidacji, co umożliwia atakującym uzyskanie nieautoryzowanego dostępu do urządzenia ofiary.

CVE-2025-49132
Critical

Pterodactyl to darmowy, otwartoźródłowy panel zarządzania serwerami gier. Przed wersją 1.11.11, wykorzystując /locales/locale.json z parametrami zapytania locale i namespace, złośliwy aktor mógł wykonać dowolny kod bez uwierzytelnienia.

CVE-2025-44635
Critical

W routerach H3C ER2200G2, ERG2-450W, ERG2-1200W, ERG2-1350W, NR1200W oraz innych wymienionych serii przed określonymi wersjami oprogramowania występują liczne podatności na zdalne wykonanie nieautoryzowanych poleceń. Atakujący mogą obejść uwierzytelnianie, wprowadzając specjalnie skonstruowany tekst w URL lub nagłówku wiadomości, co pozwala na wstrzyknięcie złośliwych poleceń i uzyskanie najwyższych uprawnień ROOT na zdalnych urządzeniach.

CVE-2025-4738
Critical

W podatności CVE-2025-4738 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Yirmibes MY ERP w wersjach przed 1.170.

PreviousPage 252 of 575Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS