CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-49931
Critical

Podatność CVE-2025-49931 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w Crocoblock JetSearch, co pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem ten dotyczy wersji JetSearch od n/a do 3.5.10 włącznie.

CVE-2025-49915
Critical

Podatność CVE-2025-49915 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia kodu SQL w aplikacji Cozy Vision SMS Alert Order Notifications w wersjach od n/a do 3.8.5. Wykorzystanie tej luki może umożliwić atakującym manipulację bazą danych.

CVE-2025-49901
Critical

Podatność CVE-2025-49901 dotyczy mechanizmu uwierzytelniania w Simple Link Directory w quantumcloud, który pozwala na obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Simple Link Directory od n/a do poniżej 14.8.1.

CVE-2025-49380
Critical

Podatność CVE-2025-49380 dotyczy deserializacji niezaufanych danych w wtyczce wpinstinct WooCommerce Vehicle Parts Finder, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.

CVE-2025-49060
Critical

Podatność CVE-2025-49060 w CMSSuperHeroes Wastia umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Wastia od n/a do poniżej 1.1.3.

CVE-2025-48106
Critical

Podatność CVE-2025-48106 w CMSSuperHeroes Clanora umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Clanora od n/a do poniżej 1.3.1.

CVE-2025-56447
Critical

TM2 Monitoring v3.04 contains an authentication bypass and plaintext credential disclosure vulnerability.

CVE-2025-41723
Critical

Metoda SOAP importFile jest podatna na atak typu traversal katalogu. Nieautoryzowany zdalny atakujący może obejść ograniczenia ścieżki i przesyłać pliki do dowolnych lokalizacji.

CVE-2025-60772
Critical

W interfejsie zarządzania opartym na sieci web urządzenia NETLINK HG322G V1.0.00-231017 występuje niewłaściwa autoryzacja, która umożliwia zdalnemu, nieautoryzowanemu atakującemu eskalację uprawnień oraz zablokowanie dostępu do konta prawowitego administratora za pomocą odpowiednio skonstruowanych żądań HTTP.

CVE-2025-10640
Critical

Nieautoryzowany atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może wykorzystać brak serwerowych kontroli uwierzytelniania, aby ominąć ekran logowania w konsoli WorkExaminer Professional i uzyskać dostęp administracyjny do serwera. To umożliwia dostęp do wszystkich wrażliwych danych monitorujących, w tym zrzutów ekranu i naciśnięć klawiszy wszystkich użytkowników.

CVE-2025-10916
Critical

Wtyczka FormGent dla WordPressa w wersjach przed 1.0.4 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-61303
Critical

Podatność w silniku analizy behawioralnej systemu Windows 10 pozwala na ominięcie detekcji próbek złośliwego oprogramowania poprzez ich rekurencyjne uruchamianie, co prowadzi do wyczerpania zasobów systemowych. W efekcie kluczowe złośliwe zachowania mogą nie być rejestrowane ani raportowane.

CVE-2025-9574
Critical

W podatności CVE-2025-9574 występuje brak uwierzytelnienia dla krytycznej funkcji w urządzeniach ABB ALS-mini-s4 IP oraz ABB ALS-mini-s8 IP. Problem ten dotyczy wszystkich wersji oprogramowania układowego z numerem seryjnym od 2000 do 5166.

CVE-2025-54957
Critical

W wersjach Dolby UDC od 4.5 do 4.13 odkryto problem, który może prowadzić do awarii procesu dekodera DD+ podczas przetwarzania źle sformatowanego strumienia bitowego DD+. Błąd w obliczeniach długości zapisu może spowodować przepełnienie, co skutkuje zbyt małym przydzielonym buforem i nieskuteczną kontrolą dostępu do pamięci.

CVE-2025-61455
Critical

W aplikacji Bhabishya-123 E-commerce w wersji 1.0 występuje podatność na atak typu SQL Injection w punkcie końcowym signup.inc.php. Aplikacja bezpośrednio włącza niesanitizowane dane wejściowe użytkowników do zapytań SQL, co pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia i uzyskanie pełnego dostępu.

CVE-2025-11948
Critical

System zarządzania dokumentami opracowany przez Excellent Infotek posiada podatność na nieautoryzowane przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.

CVE-2025-11391
Critical

Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-62515
Critical

W wersjach 0.3.1 i wcześniejszych frameworka pyquokka, klasa FlightServer używa funkcji pickle.loads() do deserializacji danych akcji otrzymywanych od klientów Flight bez jakiejkolwiek sanitizacji lub walidacji. To stwarza możliwość wykonania zdalnego kodu przez atakujących, gdy FlightServer jest skonfigurowany do nasłuchiwania na 0.0.0.0.

CVE-2025-56218
Critical

An arbitrary file upload vulnerability in SigningHub v8.6.8 allows attackers to execute arbitrary code via uploading a crafted PDF file.

CVE-2025-34282
CriticalEPSS 74%

An SSRF vulnerability in the Image Upload Gallery feature of ThingsBoard versions prior to 4.2.1 allows an attacker to upload a malicious SVG file referencing a remote URL. The server may process the SVG file and initiate unintended outbound requests to internal services or resources.

PreviousPage 217 of 568Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS