CyberAlerts

CVE-2024-13966

Description: ZKTeco BioTime allows unauthenticated attackers to enumerate usernames and log in as any user with a password unchanged from the default value '123456'. Users should change their passwords (located under the Attendance Settings tab as "Self-Password").

CVSS: HIGH (7.3)

EPSS Score: 0.08%

Source: CVE

May 27th, 2025 (13 days ago)

[django-select2] Django-Select2 Vulnerable to Widget Instance Secret Cache Key Leaking

Description: Impact Instances of HeavySelect2Mixin subclasses like the ModelSelect2MultipleWidget and ModelSelect2Widget can secret access tokens across requests. This can allow users to access restricted querysets and restricted data. Patches The problem has been patched in version 8.4.1 and all following versions. Workarounds This vulnerability is limited use cases where instances of widget classes are created during app loading (not during a request). Example of affected code: class MyForm(forms.ModelForm): class Meta: widgets = {"my_select_field": Select2ModelWidget()} Django allows you to pass just the widget class (not the instance). This can be used to mitigate the session request leak. Example of affected code: class MyForm(forms.ModelForm): class Meta: widgets = {"my_select_field": Select2ModelWidget} References Thanks to @neartik for reporting this issue. I will address it later. I had to delete your issue, to avoid exploitation of this security issue. References https://github.com/codingjoe/django-select2/security/advisories/GHSA-wjrh-hj83-3wh7 https://nvd.nist.gov/vuln/detail/CVE-2025-48383 https://github.com/codingjoe/django-select2/commit/e5f41e6edba004d35f94915ff5e2559f44853412 https://github.com/advisories/GHSA-wjrh-hj83-3wh7

CVSS: HIGH (8.2)

EPSS Score: 0.04%

Source: Github Advisory Database (PIP)

May 27th, 2025 (13 days ago)

CVE-2025-5252

PHPGurukul News Portal Project edit-subadmin.php sql injection

Description: A vulnerability was found in PHPGurukul News Portal Project 4.1. It has been declared as critical. This vulnerability affects unknown code of the file /admin/edit-subadmin.php. The manipulation of the argument emailid leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In PHPGurukul News Portal Project 4.1 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei /admin/edit-subadmin.php. Dank der Manipulation des Arguments emailid mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung.

CVSS: HIGH (7.3)

EPSS Score: 0.04%

SSVC Exploitation: poc

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2024-49196

An issue was discovered in the GPU in Samsung Mobile Processor Exynos 1480 and 2400. Type confusion leads to a Denial of Service.

Description: An issue was discovered in the GPU in Samsung Mobile Processor Exynos 1480 and 2400. Type confusion leads to a Denial of Service.

CVSS: HIGH (7.5)

EPSS Score: 0.05%

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-5251

PHPGurukul News Portal Project edit-subcategory.php sql injection

Description: A vulnerability was found in PHPGurukul News Portal Project 4.1. It has been classified as critical. This affects an unknown part of the file /admin/edit-subcategory.php. The manipulation of the argument Category leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. Es wurde eine Schwachstelle in PHPGurukul News Portal Project 4.1 ausgemacht. Sie wurde als kritisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Datei /admin/edit-subcategory.php. Durch Beeinflussen des Arguments Category mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung.

CVSS: HIGH (7.3)

EPSS Score: 0.04%

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-5248

PHPGurukul Company Visitor Management System bwdates-reports-details.php sql injection

Description: A vulnerability, which was classified as critical, was found in PHPGurukul Company Visitor Management System 1.0. Affected is an unknown function of the file /bwdates-reports-details.php. The manipulation of the argument fromdate/todate leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Es wurde eine Schwachstelle in PHPGurukul Company Visitor Management System 1.0 gefunden. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Datei /bwdates-reports-details.php. Durch das Manipulieren des Arguments fromdate/todate mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung.

CVSS: HIGH (7.3)

EPSS Score: 0.04%

SSVC Exploitation: poc

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-5247

Gowabby HFish url.go LoadUrl improper authentication

Description: A vulnerability, which was classified as critical, has been found in Gowabby HFish 0.1. This issue affects the function LoadUrl of the file \view\url.go. The manipulation of the argument r leads to improper authentication. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. Eine Schwachstelle wurde in Gowabby HFish 0.1 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion LoadUrl der Datei \view\url.go. Mittels Manipulieren des Arguments r mit unbekannten Daten kann eine improper authentication-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung.

CVSS: HIGH (7.3)

EPSS Score: 0.07%

SSVC Exploitation: poc

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-48383

Django-Select2 Vulnerable to Widget Instance Secret Cache Key Leaking

Description: Django-Select2 is a Django integration for Select2. Prior to version 8.4.1, instances of HeavySelect2Mixin subclasses like the ModelSelect2MultipleWidget and ModelSelect2Widget can leak secret access tokens across requests. This can allow users to access restricted query sets and restricted data. This issue has been patched in version 8.4.1.

CVSS: HIGH (8.2)

EPSS Score: 0.04%

SSVC Exploitation: none

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-27700

There is a possible bypass of carrier restrictions due to an unusual root cause. This could lead to local escalation of privilege with no...

Description: There is a possible bypass of carrier restrictions due to an unusual root cause. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

CVSS: HIGH (8.4)

EPSS Score: 0.01%

Source: CVE

May 27th, 2025 (13 days ago)

CVE-2025-5246

Campcodes Online Hospital Management System query-details.php sql injection

Description: A vulnerability classified as critical was found in Campcodes Online Hospital Management System 1.0. This vulnerability affects unknown code of the file /hms/admin/query-details.php. The manipulation of the argument adminremark leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In Campcodes Online Hospital Management System 1.0 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Datei /hms/admin/query-details.php. Mittels dem Manipulieren des Arguments adminremark mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung.

CVSS: HIGH (7.3)

EPSS Score: 0.03%

Source: CVE

May 27th, 2025 (13 days ago)

Threat and Vulnerability Intelligence Database

Example Searches:

CVE-2024-13966	ZKTeco BioTime default password Description: ZKTeco BioTime allows unauthenticated attackers to enumerate usernames and log in as any user with a password unchanged from the default value '123456'. Users should change their passwords (located under the Attendance Settings tab as "Self-Password"). CVSS: HIGH (7.3) EPSS Score: 0.08% Source: CVE May 27th, 2025 (13 days ago)
	[django-select2] Django-Select2 Vulnerable to Widget Instance Secret Cache Key Leaking Description: Impact Instances of HeavySelect2Mixin subclasses like the ModelSelect2MultipleWidget and ModelSelect2Widget can secret access tokens across requests. This can allow users to access restricted querysets and restricted data. Patches The problem has been patched in version 8.4.1 and all following versions. Workarounds This vulnerability is limited use cases where instances of widget classes are created during app loading (not during a request). Example of affected code: class MyForm(forms.ModelForm): class Meta: widgets = {"my_select_field": Select2ModelWidget()} Django allows you to pass just the widget class (not the instance). This can be used to mitigate the session request leak. Example of affected code: class MyForm(forms.ModelForm): class Meta: widgets = {"my_select_field": Select2ModelWidget} References Thanks to @neartik for reporting this issue. I will address it later. I had to delete your issue, to avoid exploitation of this security issue. References https://github.com/codingjoe/django-select2/security/advisories/GHSA-wjrh-hj83-3wh7 https://nvd.nist.gov/vuln/detail/CVE-2025-48383 https://github.com/codingjoe/django-select2/commit/e5f41e6edba004d35f94915ff5e2559f44853412 https://github.com/advisories/GHSA-wjrh-hj83-3wh7 CVSS: HIGH (8.2) EPSS Score: 0.04% Source: Github Advisory Database (PIP) May 27th, 2025 (13 days ago)
CVE-2025-5252	PHPGurukul News Portal Project edit-subadmin.php sql injection Description: A vulnerability was found in PHPGurukul News Portal Project 4.1. It has been declared as critical. This vulnerability affects unknown code of the file /admin/edit-subadmin.php. The manipulation of the argument emailid leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In PHPGurukul News Portal Project 4.1 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei /admin/edit-subadmin.php. Dank der Manipulation des Arguments emailid mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung. CVSS: HIGH (7.3) EPSS Score: 0.04% SSVC Exploitation: poc Source: CVE May 27th, 2025 (13 days ago)
CVE-2024-49196	An issue was discovered in the GPU in Samsung Mobile Processor Exynos 1480 and 2400. Type confusion leads to a Denial of Service. Description: An issue was discovered in the GPU in Samsung Mobile Processor Exynos 1480 and 2400. Type confusion leads to a Denial of Service. CVSS: HIGH (7.5) EPSS Score: 0.05% Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-5251	PHPGurukul News Portal Project edit-subcategory.php sql injection Description: A vulnerability was found in PHPGurukul News Portal Project 4.1. It has been classified as critical. This affects an unknown part of the file /admin/edit-subcategory.php. The manipulation of the argument Category leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. Es wurde eine Schwachstelle in PHPGurukul News Portal Project 4.1 ausgemacht. Sie wurde als kritisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Datei /admin/edit-subcategory.php. Durch Beeinflussen des Arguments Category mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. CVSS: HIGH (7.3) EPSS Score: 0.04% Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-5248	PHPGurukul Company Visitor Management System bwdates-reports-details.php sql injection Description: A vulnerability, which was classified as critical, was found in PHPGurukul Company Visitor Management System 1.0. Affected is an unknown function of the file /bwdates-reports-details.php. The manipulation of the argument fromdate/todate leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Es wurde eine Schwachstelle in PHPGurukul Company Visitor Management System 1.0 gefunden. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Datei /bwdates-reports-details.php. Durch das Manipulieren des Arguments fromdate/todate mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. CVSS: HIGH (7.3) EPSS Score: 0.04% SSVC Exploitation: poc Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-5247	Gowabby HFish url.go LoadUrl improper authentication Description: A vulnerability, which was classified as critical, has been found in Gowabby HFish 0.1. This issue affects the function LoadUrl of the file \view\url.go. The manipulation of the argument r leads to improper authentication. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. Eine Schwachstelle wurde in Gowabby HFish 0.1 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um die Funktion LoadUrl der Datei \view\url.go. Mittels Manipulieren des Arguments r mit unbekannten Daten kann eine improper authentication-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung. CVSS: HIGH (7.3) EPSS Score: 0.07% SSVC Exploitation: poc Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-48383	Django-Select2 Vulnerable to Widget Instance Secret Cache Key Leaking Description: Django-Select2 is a Django integration for Select2. Prior to version 8.4.1, instances of HeavySelect2Mixin subclasses like the ModelSelect2MultipleWidget and ModelSelect2Widget can leak secret access tokens across requests. This can allow users to access restricted query sets and restricted data. This issue has been patched in version 8.4.1. CVSS: HIGH (8.2) EPSS Score: 0.04% SSVC Exploitation: none Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-27700	There is a possible bypass of carrier restrictions due to an unusual root cause. This could lead to local escalation of privilege with no... Description: There is a possible bypass of carrier restrictions due to an unusual root cause. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. CVSS: HIGH (8.4) EPSS Score: 0.01% Source: CVE May 27th, 2025 (13 days ago)
CVE-2025-5246	Campcodes Online Hospital Management System query-details.php sql injection Description: A vulnerability classified as critical was found in Campcodes Online Hospital Management System 1.0. This vulnerability affects unknown code of the file /hms/admin/query-details.php. The manipulation of the argument adminremark leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In Campcodes Online Hospital Management System 1.0 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Datei /hms/admin/query-details.php. Mittels dem Manipulieren des Arguments adminremark mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. CVSS: HIGH (7.3) EPSS Score: 0.03% Source: CVE May 27th, 2025 (13 days ago)