CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-55373
Medium

Incorrect access control in Beakon Application before version 5.4.3 allows authenticated attackers with low-level privileges to escalate privileges and execute commands with Administrator rights.

CVE-2024-48705
MediumEPSS 87%

In the firmware of Wavlink AC1200 (versions M32A3_V1410_230602 and M32A3_V1410_240222), a post-authentication command injection vulnerability was found during password reset. The issue resides in the "set_sys_adm" function of the "adm.cgi" binary due to improper sanitization of the "newpass" field.

CVE-2025-0670
Medium

Podatność CVE-2025-0670 w Akinsoft ProKuafor umożliwia obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co prowadzi do ujawnienia zasobów. Problem dotyczy wersji ProKuafor od s1.02.07 do przed v1.02.08.

CVE-2024-12974
Medium

W podatności CVE-2024-12974 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w Akinsoft ProKuaför, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem dotyczy wersji ProKuaför od s1.02.07 do przed v1.02.08.

CVE-2025-0640
Medium

Podatność CVE-2025-0640 w Akinsoft OctoCloud umożliwia obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co prowadzi do ujawnienia wycieków zasobów. Problem dotyczy wersji OctoCloud od s1.09.02 do przed v1.11.01.

CVE-2024-12973
Medium

W podatności CVE-2024-12973 w Akinsoft OctoCloud występuje błąd walidacji pochodzenia, który umożliwia atak typu HTTP Response Splitting. Problem dotyczy wersji OctoCloud od s1.09.01 do przed v1.11.01.

CVE-2024-12972
Medium

Podatność CVE-2024-12972 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft OctoCloud, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji OctoCloud od s1.09.01 do przed v1.11.01.

CVE-2024-12924
Medium

Podatność typu 'Open Redirect' w Akınsoft QR Menü umożliwia wymuszone przeglądanie oraz phishing. Problem dotyczy wersji QR Menü od s1.05.05 do przed v1.05.12.

CVE-2024-12914
Medium

Podatność CVE-2024-12914 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akınsoft QR Menü, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji QR Menü od s1.05.05 do przed v1.05.12.

CVE-2025-56432
MediumEPSS 53%

A cross-site scripting (XSS) vulnerability exists in Nagios XI 2024R2. The vulnerability allows remote attackers to execute arbitrary JavaScript in the context of a logged-in user's session via a specially crafted URL. The issue resides in a web component responsible for rendering performance-related data.

CVE-2025-38659
Medium

W jądrze systemu Linux zidentyfikowano podatność w systemie plików gfs2, która dotyczy mechanizmu samoregeneracji. Gdy węzeł wycofuje się i jest jedynym węzłem z zamontowanym systemem plików, gfs2 próbuje odtworzyć lokalny dziennik, co prowadzi do dereferencji wskaźnika NULL.

CVE-2025-38626
Medium

W jądrze systemu Linux naprawiono podatność, która mogła prowadzić do paniki systemu przy użyciu opcji montowania 'mode=lfs'. Problem występował w funkcji f2fs_map_blocks(), gdzie nieprawidłowe zarządzanie alokacją bloków mogło prowadzić do wyczerpania przestrzeni.

CVE-2025-55371
Medium

In jshERP v3.5, the component PersonController.java has incorrect access control, allowing unauthorized attackers to obtain all handler information by executing the getAllList method.

CVE-2025-55367
Medium

In jshERP v3.5, the SupplierController.java component has an incorrect access control vulnerability, allowing unauthorized attackers to arbitrarily modify supplier status on any account.

CVE-2025-55366
Medium

In jshERP v3.5, incorrect access control in the UserController.java component allows attackers to arbitrarily reset user account passwords. This vulnerability enables a horizontal privilege escalation attack.

CVE-2025-50864
Medium

The elysia-cors library through version 1.3.0 has an origin validation error that allows bypassing CORS restrictions. Instead of exact domain matching, the library checks if the supplied origin is a substring of any domain in the CORS policy, enabling attackers to use malicious origins like "notexample.com" or "example.common.net" when the policy includes "example.com".

CVE-2025-4877
Medium

A vulnerability in the libssh library involves an integer overflow in the bin_to_base64() function when processing an unexpectedly large input buffer passed to ssh_get_fingerprint_hash(). This leads to memory under-allocation and out-of-bounds write, causing heap corruption. The issue affects only 32-bit builds of libssh.

CVE-2025-38614
Medium

A vulnerability in the Linux kernel's epoll mechanism allows semi-unbounded recursion during loop checking. The lack of proper depth limits in the epoll graph can lead to kernel stack overflow.

CVE-2025-38591
Medium

A vulnerability in the Linux kernel's BPF subsystem causes a kernel warning when performing narrower access to pointer fields in context structures. The issue occurs when a BPF program reads fewer bytes than the pointer field size, leading to a context access conversion error.

CVE-2025-51529
Medium

The Cookies and Content Security Policy plugin up to version 2.29 has an access control flaw in an AJAX endpoint. Unauthenticated remote attackers can cause a denial of service by performing unlimited database write operations via the wp_ajax_nopriv_cacsp_insert_consent_data endpoint.

PreviousPage 329 of 620Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS