CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-60419
Medium

A vulnerability was found in the NDIS Usermode IO driver (RtkIOAC60.sys, version 6.0.5600.16348) that allows a local authenticated attacker to send a crafted IOCTL request, causing a denial of service (DoS).

CVE-2025-60729
Medium

PerfreeBlog version 4.0.11 has an arbitrary file read vulnerability in the validThemeFilePath function. It allows an attacker to read arbitrary files on the server.

CVE-2025-56438
Medium

A vulnerability in the firmware update mechanism of Nous W3 Smart WiFi Camera version 1.33.50.82 allows unauthenticated attackers with physical proximity to escalate privileges to root by supplying a crafted update.tar archive stored on a FAT32-formatted SD card.

CVE-2025-60837
Medium

A reflected cross-site scripting (XSS) vulnerability in MCMS v6.0.1 allows attackers to execute arbitrary JavaScript in the context of a user's browser via a crafted payload.

CVE-2025-10727
Medium

W podatności CVE-2025-10727 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w oprogramowaniu AcBakImzala firmy ArkSigner Software and Hardware Inc., co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji AcBakImzala przed 5.1.4.

CVE-2025-60511
Medium

The Moodle OpenAI Chat Block plugin version 3.0.1 (2025021700) suffers from an IDOR vulnerability due to insufficient validation of the blockId parameter in /blocks/openai_chat/api/completion.php. An authenticated student can impersonate another user's block (e.g., administrator) and send queries executed with that block's configuration.

CVE-2025-10612
Medium

Podatność CVE-2025-10612 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w City Guide od giSoft Information Technologies, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.4.45.

CVE-2025-40005
Medium

W jądrze Linuxa zidentyfikowano podatność związaną z obsługą odpinania sterownika podczas operacji odczytu i zapisu. Wprowadzone zmiany implementują licznik odniesień, który pozwala na bezpieczne usunięcie urządzeń przed odpięciem sterownika.

CVE-2025-8884
Medium

Podatność CVE-2025-8884 dotyczy oprogramowania ACE Center firmy VHS Electronic Software Ltd. Co. i pozwala na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co może prowadzić do nadużycia uprawnień oraz wykorzystania zaufanych identyfikatorów.

CVE-2025-56320
Medium

A Stored XSS vulnerability in the chat component of CobbleStone Enterprise Contract Management Portal v22.4.0 allows a remote attacker to execute arbitrary code in the victim's browser. The vendor states this issue is present only in an obsolete, unsupported version no longer in circulation.

CVE-2025-60641
Medium

The file mexcel.php in Vfront 0.99.52 contains a vulnerability due to insecure deserialization of user-controlled input. The unserialize function is called on base64-decoded $_POST['mexcel'] data without validation or the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to remote code execution, SQL injection, path traversal, or denial of service.

CVE-2025-60639
Medium

Hardcoded credentials were found in the ATLAS-EPIC source code in commit f29312c (2025-05-26). This means authentication data is directly embedded in the repository, readable by anyone with code access.

CVE-2025-11568
Medium

A data corruption vulnerability in the luksmeta utility for LUKS1 allows overwriting encrypted data by writing excessive metadata. Lack of space validation leads to permanent loss of user data.

CVE-2025-9640
Medium

A flaw was found in Samba's vfs_streams_xattr module where uninitialized heap memory could be written into alternate data streams. This allows an authenticated user to read residual memory content that may include sensitive data, resulting in an information disclosure vulnerability.

CVE-2025-31366
Medium

A reflected XSS vulnerability in FortiOS, FortiProxy, and FortiSASE allows an unauthenticated attacker to execute scripts in a victim's browser via crafted HTTP requests. The issue stems from improper input neutralization during web page generation.

CVE-2025-60838
Medium

An arbitrary file upload vulnerability in MCMS v6.0.1 allows attackers to execute arbitrary code by uploading a crafted file.

CVE-2025-60308
Medium

A Cross Site Scripting (XSS) vulnerability was found in the Add Room function of Simple Online Hotel Reservation System 1.0. Malicious JavaScript entered in the Description field can leak administrator cookies when viewing room details.

CVE-2025-8887
Medium

Podatność CVE-2025-8887 w systemie Aybs Interaktif firmy Usta Information Systems Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania, wstrzykiwania parametrów oraz manipulacji danymi wejściowymi. Problem ten występuje od 2024 roku do 28 sierpnia 2025 roku.

CVE-2025-8886
Medium

Podatność CVE-2025-8886 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w systemie Aybs Interaktif, co prowadzi do możliwości nadużycia uprawnień oraz ominięcia autoryzacji. Problem ten może skutkować ujawnieniem wrażliwych informacji osobom nieuprawnionym.

CVE-2025-60304
Medium

A Cross Site Scripting (XSS) vulnerability was found in the Subject Description field of code-projects Simple Scheduling System 1.0. It allows injection of malicious JavaScript code into the page.

PreviousPage 259 of 550Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS