CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-52773
Critical

Podatność CVE-2025-52773 dotyczy wtyczki HieCOR Payment Gateway, która umożliwia atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach od n/a do 1.5.11 włącznie.

CVE-2025-49393
Critical

Podatność CVE-2025-49393 dotyczy deserializacji niezaufanych danych w aplikacji Fetch Designs Sign-up Sheets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Sign-up Sheets od n/a do 2.3.2 włącznie.

CVE-2025-49372
Critical

W podatności CVE-2025-49372 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w systemie wsparcia biletowego HAPPY od VillaTheme, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji HAPPY od n/a do 1.0.7.

CVE-2025-48089
Critical

W podatności CVE-2025-48089 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w motywie WordPress Education | HiStudy. Problem dotyczy wersji motywu od n/a do poniżej 3.1.0.

CVE-2025-47588
Critical

Podatność CVE-2025-47588 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Dynamic Pricing With Discount Rules dla WooCommerce, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 4.5.9 włącznie.

CVE-2025-32222
Critical

Podatność CVE-2025-32222 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Widget Logic, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji Widget Logic od n/a do 6.0.5 włącznie.

CVE-2025-56231
Critical

Tonec Internet Download Manager 6.42.41.1 and earlier fails to validate SSL certificates, allowing attackers to bypass update protections.

CVE-2025-55108
Critical

Control-M/Agent jest podatny na zdalne wykonanie kodu bez uwierzytelnienia, nieautoryzowany odczyt i zapis plików oraz podobne działania, gdy mutualne uwierzytelnianie SSL/TLS nie jest włączone (tj. w domyślnej konfiguracji).

CVE-2025-12674
Critical

Wtyczka KiotViet Sync dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji create_media() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-11749
Critical

Wtyczka AI Engine dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.1.3 włącznie, poprzez punkt końcowy REST API /mcp/v1/, który ujawnia wartość 'Bearer Token' przy włączonym 'No-Auth URL'.

CVE-2025-12682
Critical

Wtyczka Easy Upload Files During Checkout dla WordPressa jest podatna na przesyłanie dowolnych plików JavaScript z powodu braku walidacji typu pliku w funkcji 'file_during_checkout' we wszystkich wersjach do 2.9.8 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików JavaScript na serwer dotkniętej witryny.

CVE-2025-12158
Critical

Wtyczka Simple User Capabilities dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji suc_submit_capabilities() we wszystkich wersjach do i włącznie z 1.0. Umożliwia to nieautoryzowanym atakującym podniesienie roli dowolnego konta użytkownika do administratora.

CVE-2025-11008
Critical

Wtyczka CE21 Suite dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 2.3.1 włącznie, poprzez plik dziennika. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, w tym poświadczeń uwierzytelniających.

CVE-2025-11007
Critical

Wtyczka CE21 Suite dla WordPressa jest podatna na nieautoryzowaną aktualizację ustawień wtyczki z powodu braku sprawdzenia uprawnień w akcji AJAX wp_ajax_nopriv_ce21_single_sign_on_save_api_settings w wersjach od 2.2.1 do 2.3.1. Umożliwia to nieautoryzowanym atakującym aktualizację ustawień API wtyczki, w tym tajnego klucza używanego do uwierzytelniania.

CVE-2025-12463
Critical

W kamerach Geutebruck G-Cam E-Series odkryto nieautoryzowaną podatność na SQL Injection poprzez parametr `Group` w skrypcie `/uapi-cgi/viewer/Param.cgi`. Potwierdzono to na kamerze EFD-2130 działającej na wersji oprogramowania 1.12.0.19.

CVE-2025-11953
Critical

Serwer deweloperski Metro, uruchamiany przez CLI społeczności React Native, domyślnie wiąże się z interfejsami zewnętrznymi. Serwer udostępnia punkt końcowy, który jest podatny na wstrzykiwanie poleceń systemowych.

CVE-2025-8900
Critical

Wtyczka Doccure Core dla WordPressa jest podatna na eskalację uprawnień w wersjach do, ale nie włączając, 1.5.4. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'user_type'.

CVE-2025-0987
Critical

Podatność CVE-2025-0987 dotyczy projektu CVLand firmy CB Project Ltd. Co. i polega na obejściu autoryzacji poprzez wstrzykiwanie parametrów kontrolowanych przez użytkownika. Problem ten występuje w wersjach CVLand od 2.1.0 do 20251103.

CVE-2025-11499
Critical

Wtyczka Tablesome Table – Contact Form DB dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_featured_image_from_external_url() w wersjach do 1.1.32 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-11833
Critical

Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.

PreviousPage 207 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS