CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-12539
Critical

Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.

CVE-2025-12813
Critical

Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.

CVE-2025-11457
Critical

Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.

CVE-2025-11170
Critical

Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-42890
Critical

SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.

CVE-2025-42887
Critical

Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-12868
Critical

Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.

CVE-2025-12866
Critical

EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.

CVE-2025-10230
CriticalEPSS 98%

A flaw was found in Samba, in the front-end WINS hook handling: NetBIOS names from registration packets are passed to a shell without proper validation or escaping. Unsanitized NetBIOS name data from WINS registration packets are inserted into a shell command and executed by the Samba Active Directory Domain Controller's wins hook, allowing an unauthenticated network attacker to achieve remote command execution as the Samba process.

CVE-2025-63689
Critical

W systemie ycf1998 money-pos przed commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) występuje wiele podatności typu SQL injection, które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr orderby.

CVE-2025-12352
Critical

Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-64180
Critical

W oprogramowaniu księgowym Manager-io/Manager w wersjach Desktop i Server 25.11.1.3085 i poniżej występuje krytyczna podatność, która umożliwia nieautoryzowany dostęp do zasobów wewnętrznej sieci. Problem wynika z wadliwej konstrukcji mechanizmu walidacji DNS.

CVE-2025-12488
Critical

Podatność CVE-2025-12488 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do ładowania modelu.

CVE-2025-12487
Critical

Podatność CVE-2025-12487 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do załadowania modelu.

CVE-2025-6327
Critical

Podatność CVE-2025-6327 w King Addons dla Elementor umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 51.1.36.

CVE-2025-6325
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce King Addons dla Elementor umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 51.1.36.

CVE-2025-62065
Critical

Podatność CVE-2025-62065 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w Rometheme RTMKit dla Elementor. Problem ten występuje w wersjach RTMKit od n/a do 1.6.5 włącznie.

CVE-2025-62064
Critical

Podatność CVE-2025-62064 w Elated-Themes Search & Go umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła. Problem dotyczy wersji Search & Go od n/a do 2.7 włącznie.

CVE-2025-62047
Critical

Podatność CVE-2025-62047 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce Case Addons dla Case-Themes. Problem ten występuje w wersjach od n/a do poniżej 1.3.0.

CVE-2025-62016
Critical

Podatność CVE-2025-62016 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w motywie KALLYAS. Problem ten występuje w wersjach KALLYAS od n/a do 4.22.0 włącznie.

PreviousPage 213 of 568Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS