CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-7451
Critical

iSherlock opracowany przez Hgiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze. Ta podatność została już wykorzystana.

CVE-2020-36849
Critical

Wtyczka AIT CSV import/export dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php w wersjach do 3.0.3 włącznie. To umożliwia atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-5392
Critical

Wtyczka GB Forms DB dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 1.0.2 włącznie, poprzez funkcję gbfdb_talk_to_front(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func().

CVE-2025-7401
Critical

Wtyczka Premium Age Verification / Restriction dla WordPressa jest podatna na nieautoryzowany odczyt i zapis plików z powodu niewystarczająco zabezpieczonej funkcjonalności wsparcia zdalnego w pliku remote_tunnel.php we wszystkich wersjach do 3.0.2 włącznie. Umożliwia to nieautoryzowanym atakującym odczyt lub zapis do dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-52579
Critical

Produkty Emerson ValveLink przechowują wrażliwe informacje w postaci niezaszyfrowanej w pamięci. Wrażliwe dane mogą być zapisane na dysku, przechowywane w zrzucie pamięci lub pozostać nieusunięte w przypadku awarii produktu lub jeśli programista nie wyczyści pamięci przed jej zwolnieniem.

CVE-2025-2523
Critical

W systemach Honeywell Experion PKS i OneWireless WDM występuje podatność typu Integer Underflow w komponencie Control Data Access (CDA). Atakujący może wykorzystać tę podatność do manipulacji kanałem komunikacyjnym, co może prowadzić do wykonania zdalnego kodu.

CVE-2025-53371
Critical

DiscordNotifications to rozszerzenie dla MediaWiki, które wysyła powiadomienia o działaniach w Wiki do kanału Discord. Umożliwia ono wysyłanie żądań do dowolnych adresów URL, co może prowadzić do ataków typu DoS oraz SSRF, a w konsekwencji do zdalnego wykonania kodu (RCE).

CVE-2025-53624
Critical

Wtyczka gists dla Docusaurus dodaje stronę do instancji Docusaurus, wyświetlającą publiczne gisty użytkownika GitHub. Wersje docusaurus-plugin-content-gists przed 4.0.0 są podatne na ujawnienie osobistych tokenów dostępu GitHub w artefaktach budowy produkcyjnej, gdy są przekazywane przez opcje konfiguracyjne wtyczki.

CVE-2025-53546
Critical

Folo organizuje treści z kanałów w jedną oś czasu. Wykorzystanie pull_request_target w pliku .github/workflows/auto-fix-lint-format-commit.yml może być wykorzystane przez atakujących, ponieważ nieufny kod może być wykonany z pełnym dostępem do sekretów (z repozytorium bazowego).

CVE-2025-6514
Critical

mcp-remote jest podatny na wstrzykiwanie poleceń systemowych, gdy łączy się z nieufnymi serwerami MCP, z powodu spreparowanego wejścia z odpowiedzi URL authorization_endpoint.

CVE-2025-3499
Critical

Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086). Wykorzystując podatność na wstrzykiwanie poleceń systemu operacyjnego przez te interfejsy API, atakujący może wysyłać dowolne polecenia, które są wykonywane z uprawnieniami administratora przez system operacyjny.

CVE-2025-3498
Critical

Nieautoryzowany użytkownik z dostępem do sieci zarządzającej może uzyskać i modyfikować konfigurację Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20). Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086).

CVE-2025-4606
Critical

Motyw Sala - Startup & SaaS dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.1.4. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.

CVE-2025-27203
Critical

Wersje Adobe Connect 24.0 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu przez atakującego. Wykorzystanie tej luki wymaga interakcji użytkownika i zmienia zakres ataku.

CVE-2025-37103
Critical

W punktach dostępu HPE Networking Instant On znaleziono twardo zakodowane dane logowania, co pozwala na ominięcie normalnej autoryzacji urządzenia. Umożliwia to zdalnemu atakującemu uzyskanie dostępu administracyjnego do systemu.

CVE-2025-42980
Critical

SAP NetWeaver Enterprise Portal Federated Portal Network jest podatny na atak, gdy uprzywilejowany użytkownik może przesłać nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do naruszenia poufności, integralności i dostępności systemu gospodarza.

CVE-2025-42967
Critical

SAP S/4HANA i SAP SCM mają podatność na zdalne wykonanie kodu w funkcji propagacji cech. Atakujący z uprawnieniami użytkownika może stworzyć nowy raport z własnym kodem, co może prowadzić do pełnej kontroli nad systemem SAP.

CVE-2025-42966
Critical

Usługa archiwizacji danych XML w SAP NetWeaver pozwala uwierzytelnionemu atakującemu z uprawnieniami administracyjnymi wykorzystać podatność na niebezpieczną deserializację Java, wysyłając specjalnie przygotowany zserializowany obiekt Java. Może to prowadzić do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42964
Critical

SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy użytkownik z uprawnieniami może przesłać nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do naruszenia poufności, integralności i dostępności systemu gospodarza.

CVE-2025-42963
Critical

Krytyczna podatność w serwerze aplikacyjnym SAP NetWeaver dla Java Log Viewer umożliwia uwierzytelnionym użytkownikom-administratorom wykorzystanie niebezpiecznej deserializacji obiektów Java. Udane wykorzystanie tej podatności może prowadzić do pełnego przejęcia systemu operacyjnego, dając atakującym pełną kontrolę nad dotkniętym systemem.

PreviousPage 221 of 547Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS