CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-65849
Critical

Wersja 0.8.0 i nowsze trybu obfuskacji Proof-of-Work w Altcha mają lukę, która pozwala zdalnym użytkownikom na odzyskanie nonce Proof-of-Work w stałym czasie za pomocą dedukcji matematycznej. Producent kwestionuje tę podatność, podkreślając, że celem produktu jest zniechęcenie do automatycznego skanowania, a nie zapewnienie odporności na zdeterminowanych atakujących.

CVE-2025-12673
Critical

Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji update_qr_code() we wszystkich wersjach do i włącznie z 1.2.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-66562
Critical

W Tuui, kliencie MCP, przed wersją 1.3.4 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną luką Cross-Site Scripting (XSS) w komponencie renderującym Markdown. Luka ta pozwala na wykonanie dowolnego kodu JavaScript w blokach kodu ECharts.

CVE-2025-34256
Critical

Serwery Advantech WISE-DeviceOn w wersjach przed 5.4 zawierają podatność na twardo zakodowany klucz kryptograficzny. Produkt używa statycznego sekretu HS512 HMAC do podpisywania tokenów JWT EIRMMToken, co pozwala na akceptację fałszywych tokenów przez serwer.

CVE-2025-64054
Critical

A reflected Cross Site Scripting (XSS) vulnerability in Fanvil x210 devices version 2.12.20 allows attackers to cause denial of service or potentially execute arbitrary commands via a crafted POST request to the /cgi-bin/webconfig?page=upload&action=submit endpoint.

CVE-2025-12374
Critical

Wtyczka do WordPressa 'Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification' jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.44 włącznie. Problem wynika z niewłaściwej walidacji generowania OTP przed porównaniem go z danymi wejściowymi użytkownika w funkcji 'user_verification_form_wrap_process_otpLogin'.

CVE-2025-13313
Critical

Wtyczka CRM Memberships dla WordPressa jest podatna na eskalację uprawnień poprzez reset hasła we wszystkich wersjach do 2.6 włącznie. Brak odpowiednich kontroli autoryzacji i uwierzytelnienia w akcji AJAX `ntzcrm_changepassword` umożliwia nieautoryzowanym atakującym resetowanie haseł użytkowników.

CVE-2025-66509
Critical

LaraDashboard w wersji 2.3.0 i wcześniejszych ma lukę w procesie resetowania hasła, który ufa nagłówkowi Host. To pozwala atakującym na przekierowanie tokena resetowania administratora do serwera kontrolowanego przez atakującego.

CVE-2025-29269
CriticalEPSS 77%

An OS command injection vulnerability was discovered in ALLNET ALL-RUT22GW version 3.3.8 via the 'command' parameter in the popen.cgi endpoint. An attacker can remotely execute arbitrary system commands.

CVE-2025-29268
CriticalEPSS 94%

The ALLNET ALL-RUT22GW device version 3.3.8 was found to store hardcoded credentials in the libicos.so library. This means passwords or access keys are stored in plaintext within the binary file.

CVE-2025-64055
Critical

An issue was discovered in Fanvil x210 V2 version 2.12.20 allowing unauthenticated attackers on the local network to bypass authentication and access administrative functions such as file upload, firmware update, and device reboot.

CVE-2025-66489
Critical

Cal.com to oprogramowanie do planowania, które przed wersją 5.9.8 miało lukę w dostawcy poświadczeń logowania. Umożliwia ona atakującemu ominięcie weryfikacji hasła przy podaniu kodu TOTP, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2025-64443
Critical

MCP Gateway w wersjach 0.27.0 i wcześniejszych jest podatny na atak DNS rebinding, gdy działa w trybie sse lub streaming transport. Atakujący może wykorzystać tę podatność, aby manipulować serwerami MCP działającymi za bramą, jeśli ofiara odwiedzi złośliwą stronę internetową lub zobaczy złośliwą reklamę.

CVE-2025-13342
Critical

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na nieautoryzowaną modyfikację dowolnych opcji WordPressa we wszystkich wersjach do 3.28.20 włącznie. Problem wynika z niewystarczających kontroli uprawnień i walidacji danych wejściowych w funkcji ActionOptions::run() odpowiedzialnej za zapis.

CVE-2025-13486
Critical

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na zdalne wykonanie kodu w wersjach od 0.9.0.5 do 0.9.1.1 poprzez funkcję prepare_form(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func_array().

CVE-2025-13542
Critical

Wtyczka DesignThemes LMS dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.4 włącznie. Problem wynika z funkcji 'dtlms_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-66409
Critical

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

CVE-2025-41744
Critical

Seria SPRECON-E firmy Sprecher Automations używa domyślnych kluczy kryptograficznych, co pozwala nieuprzywilejowanemu zdalnemu atakującemu uzyskać dostęp do wszystkich zaszyfrowanych komunikacji, naruszając poufność i integralność.

CVE-2025-41742
Critical

Sprecher Automations SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 są podatne na atak ze strony nieautoryzowanego zdalnego napastnika poprzez domyślne klucze kryptograficzne. Wykorzystanie tych kluczy umożliwia napastnikowi odczyt, modyfikację oraz zapis projektów i danych, a także dostęp do urządzeń poprzez zdalną konserwację.

CVE-2025-66410
Critical

Gin-vue-admin to system zarządzania zapleczem oparty na Vue i Gin. W wersjach 2.8.6 i wcześniejszych, atakujący mogą dowolnie usuwać pliki na serwerze, co prowadzi do uszkodzenia lub niedostępności zasobów serwera.

PreviousPage 202 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS