CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-13595
Critical

Wtyczka CIBELES AI dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w pliku 'actualizador_git.php' w wersjach do 1.10.8 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów z GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-61168
Critical

A vulnerability in the cms_rest.php component of SIGB PMB v8.0.1.14 allows attackers to execute arbitrary code by unserializing an arbitrary file.

CVE-2025-65085
Critical

A Heap-based Buffer Overflow vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior. This could allow an attacker to disclose information or execute arbitrary code.

CVE-2025-65084
Critical

An Out-of-Bounds Write vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior that could allow an attacker to disclose information or execute arbitrary code.

CVE-2025-64693
Critical

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora w stercie podczas przetwarzania Content-Length. Otrzymanie specjalnie przygotowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-62691
Critical

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora na stosie podczas przetwarzania nagłówków HTTP. Otrzymanie specjalnie skonstruowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-13559
Critical

Wtyczka EduKart Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z funkcji 'edukart_pro_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-6389
Critical

Wtyczka Sneeit Framework dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 8.3, poprzez funkcję sneeit_articles_pagination_callback(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane do call_user_func().

CVE-2025-65108
Critical

Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2025-64767
Critical

hpke-js to moduł Hybrydowego Szyfrowania Klucza Publicznego (HPKE) oparty na API kryptografii internetowej. Przed wersją 1.7.5, publiczna metoda Seal() w SenderContext miała warunek wyścigu, co pozwalało na wielokrotne użycie tego samego nonce AEAD dla różnych wywołań Seal().

CVE-2025-11127
Critical

Wtyczka Mstoreapp Mobile App dla WordPressa w wersjach do 2.08 oraz Mstoreapp Mobile Multivendor do 9.0.1 nie weryfikuje poprawnie tożsamości użytkowników podczas korzystania z akcji AJAX. Umożliwia to nieautoryzowanym użytkownikom uzyskanie ważnej sesji dla dowolnych użytkowników, znając ich adres e-mail.

CVE-2025-64310
Critical

EPSON WebConfig oraz Epson Web Control dla produktów projektorów SEIKO EPSON nie ograniczają nadmiernych prób uwierzytelnienia. Hasło użytkownika administracyjnego może zostać ujawnione w wyniku ataku typu brute force.

CVE-2025-10571
Critical

Podatność na obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w systemie ABB Ability Edgenius. Problem ten dotyczy wersji 3.2.0.0 oraz 3.2.1.1.

CVE-2025-10437
Critical

W systemie zarządzania Webpack firmy Eksagate Electronic Engineering and Computer Industry Trade Inc. występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu do 20251119.

CVE-2025-12057
Critical

Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2025-63225
Critical

Urządzenie Eurolab ELTS100_UBX (wersja oprogramowania ELTS100v1.UBX) jest podatne na naruszenie kontroli dostępu z powodu braku uwierzytelnienia na krytycznych punktach administracyjnych. Atakujący mogą bezpośrednio uzyskać dostęp do wrażliwych konfiguracji systemu i sieci, przesyłać oprogramowanie układowe oraz wykonywać nieautoryzowane działania.

CVE-2025-63747
Critical

QaTraq 6.9.2 ships with default administrative account credentials that are enabled in standard installations. This allows immediate login via the web application login page. An attacker who can reach the login page can gain full administrative access.

CVE-2025-9501
Critical

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

CVE-2025-13284
Critical

ThinPLUS opracowany przez ThinPLUS ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-58083
Critical

Brama Lynx+ firmy General Industrial Controls ma brak krytycznej autoryzacji w wbudowanym serwerze WWW, co może umożliwić atakującemu zdalne zresetowanie urządzenia.

PreviousPage 204 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS