CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
A vulnerability was found in the NDIS Usermode IO driver (RtkIOAC60.sys, version 6.0.5600.16348) that allows a local authenticated attacker to send a crafted IOCTL request, causing a denial of service (DoS).
PerfreeBlog version 4.0.11 has an arbitrary file read vulnerability in the validThemeFilePath function. It allows an attacker to read arbitrary files on the server.
A vulnerability in the firmware update mechanism of Nous W3 Smart WiFi Camera version 1.33.50.82 allows unauthenticated attackers with physical proximity to escalate privileges to root by supplying a crafted update.tar archive stored on a FAT32-formatted SD card.
A reflected cross-site scripting (XSS) vulnerability in MCMS v6.0.1 allows attackers to execute arbitrary JavaScript in the context of a user's browser via a crafted payload.
W podatności CVE-2025-10727 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w oprogramowaniu AcBakImzala firmy ArkSigner Software and Hardware Inc., co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji AcBakImzala przed 5.1.4.
The Moodle OpenAI Chat Block plugin version 3.0.1 (2025021700) suffers from an IDOR vulnerability due to insufficient validation of the blockId parameter in /blocks/openai_chat/api/completion.php. An authenticated student can impersonate another user's block (e.g., administrator) and send queries executed with that block's configuration.
Podatność CVE-2025-10612 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w City Guide od giSoft Information Technologies, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.4.45.
W jądrze Linuxa zidentyfikowano podatność związaną z obsługą odpinania sterownika podczas operacji odczytu i zapisu. Wprowadzone zmiany implementują licznik odniesień, który pozwala na bezpieczne usunięcie urządzeń przed odpięciem sterownika.
Podatność CVE-2025-8884 dotyczy oprogramowania ACE Center firmy VHS Electronic Software Ltd. Co. i pozwala na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co może prowadzić do nadużycia uprawnień oraz wykorzystania zaufanych identyfikatorów.
A Stored XSS vulnerability in the chat component of CobbleStone Enterprise Contract Management Portal v22.4.0 allows a remote attacker to execute arbitrary code in the victim's browser. The vendor states this issue is present only in an obsolete, unsupported version no longer in circulation.
The file mexcel.php in Vfront 0.99.52 contains a vulnerability due to insecure deserialization of user-controlled input. The unserialize function is called on base64-decoded $_POST['mexcel'] data without validation or the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to remote code execution, SQL injection, path traversal, or denial of service.
Hardcoded credentials were found in the ATLAS-EPIC source code in commit f29312c (2025-05-26). This means authentication data is directly embedded in the repository, readable by anyone with code access.
A data corruption vulnerability in the luksmeta utility for LUKS1 allows overwriting encrypted data by writing excessive metadata. Lack of space validation leads to permanent loss of user data.
A flaw was found in Samba's vfs_streams_xattr module where uninitialized heap memory could be written into alternate data streams. This allows an authenticated user to read residual memory content that may include sensitive data, resulting in an information disclosure vulnerability.
A reflected XSS vulnerability in FortiOS, FortiProxy, and FortiSASE allows an unauthenticated attacker to execute scripts in a victim's browser via crafted HTTP requests. The issue stems from improper input neutralization during web page generation.
An arbitrary file upload vulnerability in MCMS v6.0.1 allows attackers to execute arbitrary code by uploading a crafted file.
A Cross Site Scripting (XSS) vulnerability was found in the Add Room function of Simple Online Hotel Reservation System 1.0. Malicious JavaScript entered in the Description field can leak administrator cookies when viewing room details.
Podatność CVE-2025-8887 w systemie Aybs Interaktif firmy Usta Information Systems Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania, wstrzykiwania parametrów oraz manipulacji danymi wejściowymi. Problem ten występuje od 2024 roku do 28 sierpnia 2025 roku.
Podatność CVE-2025-8886 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w systemie Aybs Interaktif, co prowadzi do możliwości nadużycia uprawnień oraz ominięcia autoryzacji. Problem ten może skutkować ujawnieniem wrażliwych informacji osobom nieuprawnionym.
A Cross Site Scripting (XSS) vulnerability was found in the Subject Description field of code-projects Simple Scheduling System 1.0. It allows injection of malicious JavaScript code into the page.

