CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2020-36852
Critical

Wtyczka Custom Searchable Data Entry System dla WordPressa jest podatna na nieautoryzowane usuwanie danych z bazy w wersjach do 1.7.1 włącznie, z powodu braku sprawdzenia uprawnień oraz niewystarczającej walidacji w funkcji ghazale_sds_delete_entries_table_row(). Umożliwia to nieautoryzowanym atakującym całkowite usunięcie tabel w bazie danych, takich jak wp_users.

CVE-2025-10659
Critical

Aplikacja internetowa Telenium Online jest podatna na ataki z powodu punktu końcowego PHP, który jest dostępny dla nieautoryzowanych użytkowników sieci i niewłaściwie obsługuje dane wejściowe dostarczane przez użytkowników. Podatność ta wynika z niebezpiecznego zakończenia sprawdzenia wyrażenia regularnego w tym punkcie końcowym.

CVE-2025-56513
Critical

NiceHash QuickMiner version 6.12.0 performs software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update URL can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution.

CVE-2025-10725
Critical

W Red Hat Openshift AI Service odkryto lukę, która pozwala atakującemu z niskimi uprawnieniami, posiadającemu dostęp do uwierzytelnionego konta, na eskalację uprawnień do pełnego administratora klastra. To umożliwia całkowite naruszenie poufności, integralności i dostępności klastra.

CVE-2025-7493
Critical

W FreeIPA odkryto lukę umożliwiającą eskalację uprawnień z hosta do administratora domeny. Problem polega na braku walidacji unikalności krbCanonicalName, co pozwala na wykorzystanie root@REALM jako nazwy administratora realm.

CVE-2025-9762
Critical

Wtyczka Post By Email dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_attachments we wszystkich wersjach do 1.0.4b włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-8625
Critical

Wtyczka Copypress Rest API dla WordPressa jest podatna na zdalne wykonanie kodu poprzez funkcję copyreap_handle_image() w wersjach od 1.1 do 1.2. Wtyczka używa wbudowanego klucza do podpisywania JWT, gdy nie zdefiniowano sekretu, oraz nie ogranicza typów plików, które mogą być pobierane i zapisywane jako załączniki.

CVE-2025-11148
Critical

Wszystkie wersje pakietu check-branches są podatne na atak typu Command Injection. Narzędzie to, używane lokalnie lub w CI, służy do potwierdzania braku konfliktów w gałęziach git, jednak z powodu zaufania do nazw gałęzi i łączenia ich z wejściem użytkownika, może być narażone na nadużycia.

CVE-2024-58040
Critical

Crypt::RandomEncryption dla Perla w wersji 0.01 wykorzystuje niebezpieczną funkcję rand() podczas szyfrowania, co może prowadzić do osłabienia bezpieczeństwa danych. Użycie tej funkcji może skutkować przewidywalnymi kluczami szyfrującymi.

CVE-2025-57266
Critical

W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.

CVE-2024-13150
Critical

W podatności CVE-2024-13150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie fayton.Pro ERP. Problem ten dotyczy wersji oprogramowania do 29 września 2025 roku.

CVE-2025-11126
Critical

W Apeman ID71 odkryto lukę bezpieczeństwa, która dotyczy nieznanego kodu w pliku /system/www/system.ini. W wyniku manipulacji w tym pliku mogą zostać ujawnione twardo zakodowane dane uwierzytelniające.

CVE-2025-59936
Critical

W wersjach wcześniejszych niż 11.0.2, w get-jwks występuje podatność, która może prowadzić do zanieczyszczenia pamięci podręcznej w mechanizmie pobierania kluczy JWKS. Problem polega na tym, że walidacja roszczenia iss (issuer) odbywa się dopiero po pobraniu kluczy z pamięci podręcznej, co pozwala na ponowne wykorzystanie kluczy z nieoczekiwanego źródła.

CVE-2025-59934
Critical

Formbricks, alternatywa dla Qualtrics, przed wersją 4.0.1 nie weryfikował podpisów JWT. W wyniku tego, mechanizm walidacji tokenów jedynie dekodował JWT, co umożliwiało atakującym tworzenie fałszywych tokenów do logowania i resetowania haseł.

CVE-2025-58384
Critical

W DOXENSE WATCHDOC przed wersją 6.1.1.5332 występuje podatność na deserializację niezaufanych danych, co może prowadzić do zdalnego wykonania kodu poprzez bibliotekę .NET Remoting w interfejsie administracyjnym Watchdoc.

CVE-2025-60219
Critical

Podatność CVE-2025-60219 w HaruTheme WooCommerce Designer Pro umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WooCommerce Designer Pro od n/a do 1.9.24.

CVE-2025-60156
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce webandprint AR For WordPress umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji AR For WordPress od n/a do 8.34 włącznie.

CVE-2025-20363
Critical

Podatność w usługach internetowych oprogramowania Cisco Secure Firewall ASA, FTD, IOS, IOS XE oraz IOS XR może umożliwić zdalnemu atakującemu, który nie jest uwierzytelniony (w przypadku ASA i FTD) lub uwierzytelnionemu atakującemu z niskimi uprawnieniami (w przypadku IOS, IOS XE i IOS XR), wykonanie dowolnego kodu na podatnym urządzeniu. Problem wynika z niewłaściwej walidacji danych wejściowych dostarczonych przez użytkownika w żądaniach HTTP.

CVE-2025-59823
Critical

Projekt Gardener umożliwia automatyczne zarządzanie i obsługę klastrów Kubernetes jako usługi. W wersjach wcześniejszych niż 1.64.0 dla dostawców AWS, 1.55.0 dla Azure, 1.49.0 dla OpenStack oraz 1.46.0 dla GCP może wystąpić możliwość wstrzyknięcia kodu w rozszerzeniach Gardenera.

CVE-2025-10542
Critical

iMonitor EAM w wersji 9.6394 dostarczany jest z domyślnymi danymi logowania dla administratora, które są również wyświetlane w oknie połączenia klienta zarządzającego. Jeśli administrator nie zmieni tych domyślnych danych, zdalny atakujący może uwierzytelnić się na serwerze EAM i uzyskać pełną kontrolę nad monitorowanymi agentami oraz danymi.

PreviousPage 216 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS