CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-66405
Critical

Portkey.ai Gateway przed wersją 1.14.0 ustalał docelowy baseURL na podstawie wartości w nagłówku x-portkey-custom-host. To może być wykorzystane przez użytkowników do przeprowadzenia ataków SSRF.

CVE-2025-66401
Critical

MCP Watch to kompleksowy skaner bezpieczeństwa dla serwerów Model Context Protocol (MCP). W wersji 0.1.2 i wcześniejszych klasa MCPScanner zawiera krytyczną podatność na wstrzyknięcie poleceń w metodzie cloneRepo, gdzie argument githubUrl jest przekazywany bezpośrednio do powłoki systemowej bez sanitizacji.

CVE-2025-51683
Critical

A blind SQL injection vulnerability in mJobtime v15.7.2 allows unauthenticated attackers to execute arbitrary SQL statements via a crafted POST request to the /Default.aspx/update_profile_Server endpoint.

CVE-2025-51682
Critical

The vulnerability in mJobtime 15.7.2 handles authorization on the client side, allowing an attacker to modify client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

CVE-2025-3500
Critical

W podatności CVE-2025-3500 występuje przepełnienie lub owinięcie liczb całkowitych w programie Avast Antivirus (wersja 25.1.981.6) na systemie Windows, co umożliwia eskalację uprawnień. Problem dotyczy wersji programu od 25.1.981.6 do przed 25.3.

CVE-2025-35028
Critical

Podatność CVE-2025-35028 pozwala na wykonanie polecenia w kontekście serwera MCP z normalnymi uprawnieniami, zazwyczaj jako root, poprzez dostarczenie argumentu wiersza poleceń zaczynającego się od średnika do punktu końcowego API. W domyślnej konfiguracji serwera MCP nie ma próby sanitizacji tych argumentów.

CVE-2025-13615
Critical

Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-13675
Critical

Motyw Tiger dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do i włącznie z 101.2.1. Problem wynika z braku ograniczeń w pliku 'paypal-submit.php', który pozwala na rejestrację użytkowników z rolą 'administrator'.

CVE-2025-13540
Critical

Wtyczka Tiare Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2. Problem wynika z funkcji 'tiare_membership_init_rest_api_register', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-13539
Critical

Wtyczka FindAll Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.4. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'findall_membership_check_facebook_user' oraz 'findall_membership_check_google_user'.

CVE-2025-13538
Critical

Wtyczka FindAll Listing dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.5. Problem wynika z funkcji 'findall_listing_user_registration_additional_params', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-50433
Critical

A vulnerability in imonnit.com (as of 2025-04-24) allows attackers to escalate privileges via a crafted password reset, enabling takeover of arbitrary user accounts.

CVE-2025-65669
Critical

In classroomio 0.1.13, student accounts can delete courses from the Explore page without any authorization or authentication checks, bypassing the expected admin-only deletion restriction.

CVE-2025-64130
Critical

Zenitel TCIV-3+ jest podatny na refleksyjną podatność typu cross-site scripting, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2025-64128
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niekompletnej walidacji danych wejściowych dostarczonych przez użytkownika. Niewystarczające zasady formatowania mogą umożliwić atakującym dodawanie dowolnych danych.

CVE-2025-64127
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewystarczającego oczyszczania danych wejściowych dostarczanych przez użytkownika. Aplikacja akceptuje parametry, które są później włączane do poleceń systemowych bez odpowiedniej walidacji.

CVE-2025-64126
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewłaściwej walidacji danych wejściowych. Aplikacja akceptuje parametr bez weryfikacji, czy jest to prawidłowy adres IP, co może umożliwić atakującemu wstrzyknięcie dowolnych poleceń.

CVE-2025-62354
Critical

Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach systemowych ('iniekcja poleceń') w Cursor umożliwia nieautoryzowanemu atakującemu wykonywanie poleceń spoza dozwolonej listy, co prowadzi do wykonania dowolnego kodu.

CVE-2025-64657
Critical

W Azure Application Gateway występuje przepełnienie bufora na stosie, które może zostać wykorzystane przez nieautoryzowanego atakującego do podniesienia uprawnień w sieci.

CVE-2025-13597
Critical

Wtyczka AI Feeds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w pliku 'actualizador_git.php' we wszystkich wersjach do 1.0.11 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.

PreviousPage 203 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS