CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
The file mexcel.php in Vfront 0.99.52 contains a vulnerability due to insecure deserialization of user-controlled input. The unserialize function is called on base64-decoded $_POST['mexcel'] data without validation or the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to remote code execution, SQL injection, path traversal, or denial of service.
Hardcoded credentials were found in the ATLAS-EPIC source code in commit f29312c (2025-05-26). This means authentication data is directly embedded in the repository, readable by anyone with code access.
A data corruption vulnerability in the luksmeta utility for LUKS1 allows overwriting encrypted data by writing excessive metadata. Lack of space validation leads to permanent loss of user data.
A flaw was found in Samba's vfs_streams_xattr module where uninitialized heap memory could be written into alternate data streams. This allows an authenticated user to read residual memory content that may include sensitive data, resulting in an information disclosure vulnerability.
A reflected XSS vulnerability in FortiOS, FortiProxy, and FortiSASE allows an unauthenticated attacker to execute scripts in a victim's browser via crafted HTTP requests. The issue stems from improper input neutralization during web page generation.
An arbitrary file upload vulnerability in MCMS v6.0.1 allows attackers to execute arbitrary code by uploading a crafted file.
A Cross Site Scripting (XSS) vulnerability was found in the Add Room function of Simple Online Hotel Reservation System 1.0. Malicious JavaScript entered in the Description field can leak administrator cookies when viewing room details.
Podatność CVE-2025-8887 w systemie Aybs Interaktif firmy Usta Information Systems Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania, wstrzykiwania parametrów oraz manipulacji danymi wejściowymi. Problem ten występuje od 2024 roku do 28 sierpnia 2025 roku.
Podatność CVE-2025-8886 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w systemie Aybs Interaktif, co prowadzi do możliwości nadużycia uprawnień oraz ominięcia autoryzacji. Problem ten może skutkować ujawnieniem wrażliwych informacji osobom nieuprawnionym.
A Cross Site Scripting (XSS) vulnerability was found in the Subject Description field of code-projects Simple Scheduling System 1.0. It allows injection of malicious JavaScript code into the page.
A Cross-Site Scripting (XSS) vulnerability has been found in code-projects Client Details System 1.0. Malicious JavaScript code can be injected into the username field when adding customer information.
A fastjson deserialization vulnerability was discovered in WukongCRM-9.0-JAVA via the /OaExamine/setOaExamine interface. An attacker can remotely exploit this flaw to execute arbitrary code.
A Directory Traversal vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) with firmware F/W 6010-0076-000 Ver 4.00 allows attackers to gain sensitive information.
A Cross Site Scripting (XSS) vulnerability has been found in EndRun Technologies Sonoma D12 Network Time Server (GPS) running F/W 6010-0071-000 Ver 4.00. Attackers can exploit it to steal sensitive information and possibly cause other unspecified impacts.
Podatność CVE-2025-0609 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Logo Cloud od Logo Software Inc., co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji przed 1.18.
Podatność typu 'Open Redirect' w Logo Cloud firmy Logo Software Inc. umożliwia przekierowanie użytkowników na nieznane, potencjalnie złośliwe strony. Problem ten dotyczy wersji Logo Cloud przed 2025.R6.
W podatności CVE-2025-0607 występuje niewłaściwe kodowanie lub ucieczka danych wyjściowych w oprogramowaniu Logo Cloud firmy Logo Software Inc., co umożliwia ataki phishingowe. Problem dotyczy wersji Logo Cloud przed 2.57.
Podatność CVE-2025-0606 w oprogramowaniu Logo Cloud firmy Logo Software Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania oraz ujawnienia zasobów. Problem dotyczy wersji Logo Cloud przed 0.67.
W jądrze Linuxa rozwiązano podatność dotyczącą niewłaściwego odmapowywania i usuwania csa_va w sterowniku amdgpu. Problem polegał na tym, że Root PD BO powinien być zarezerwowany przed odmapowaniem i usunięciem bo_va z VM, w przeciwnym razie występowały ostrzeżenia w lockdep.
W jądrze systemu Linux zidentyfikowano podatność, która prowadziła do awarii podczas operacji hotplug CPU. Problem występował w module qla2xxx, gdy czas oczekiwania na przerwanie I/O wygasał, co skutkowało nieprawidłowym wywołaniem zakończenia operacji.

