CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-59367
Critical

Zidentyfikowano podatność na obejście uwierzytelniania w niektórych routerach serii DSL, która może umożliwić zdalnym atakującym uzyskanie nieautoryzowanego dostępu do dotkniętego systemu.

CVE-2025-56385
Critical

A SQL injection vulnerability exists in the login functionality of WellSky Harmony version 4.1.0.2.83 within the 'xmHarmony.asp' endpoint. User-supplied input to the 'TXTUSERID' parameter is not properly sanitized before being incorporated into a SQL query. Successful exploitation may lead to authentication bypass, data leakage, or full system compromise of backend database contents.

CVE-2025-60724
Critical

Heap-based buffer overflow in Microsoft Graphics Component allows an unauthorized attacker to execute code over a network.

CVE-2025-13026
Critical

Podatność CVE-2025-13026 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13024
Critical

Podatność CVE-2025-13024 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Problem ten został naprawiony w wersjach Firefox 145 oraz Thunderbird 145.

CVE-2025-13023
Critical

Podatność CVE-2025-13023 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13022
Critical

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13021
Critical

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-8324
Critical

Wersje 6170 i wcześniejsze oprogramowania Zohocorp ManageEngine Analytics Plus są podatne na nieautoryzowaną injekcję SQL z powodu niewłaściwej konfiguracji filtrów.

CVE-2025-12539
Critical

Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.

CVE-2025-12813
Critical

Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.

CVE-2025-11457
Critical

Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.

CVE-2025-11170
Critical

Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-42890
Critical

SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.

CVE-2025-42887
Critical

Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-12868
Critical

Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.

CVE-2025-12866
Critical

EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.

CVE-2025-10230
CriticalEPSS 98%

A flaw was found in Samba, in the front-end WINS hook handling: NetBIOS names from registration packets are passed to a shell without proper validation or escaping. Unsanitized NetBIOS name data from WINS registration packets are inserted into a shell command and executed by the Samba Active Directory Domain Controller's wins hook, allowing an unauthenticated network attacker to achieve remote command execution as the Samba process.

CVE-2025-63689
Critical

W systemie ycf1998 money-pos przed commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) występuje wiele podatności typu SQL injection, które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr orderby.

CVE-2025-12352
Critical

Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

PreviousPage 205 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS