CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-50251
Critical

W podatności CVE-2025-50251 występuje luka typu server side request forgery (SSRF) w wersji 0.23.1 aplikacji makeplane, która może być wykorzystana poprzez proces odzyskiwania hasła.

CVE-2025-8760
Critical

Zidentyfikowano podatność w INSTAR 2K+ i 4K w wersji 3.11.1 Build 1124, która dotyczy funkcji base64_decode komponentu fcgi_server. Manipulacja argumentem Authorization prowadzi do przepełnienia bufora, co umożliwia zdalne przeprowadzenie ataku.

CVE-2025-6715
Critical

Wtyczka LatePoint dla WordPressa w wersjach przed 5.1.94 jest podatna na atak typu Local File Inclusion poprzez parametr layout. Umożliwia to atakującym dołączenie i wykonanie plików PHP na serwerze, co pozwala na uruchomienie dowolnego kodu PHP w tych plikach.

CVE-2025-7384
Critical

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.3 poprzez deserializację nieufnych danych wejściowych w funkcji get_lead_detail. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2025-53766
Critical

Heap-based buffer overflow in Windows GDI+ allows an unauthorized attacker to execute code over a network.

CVE-2025-8059
Critical

Wtyczka B Blocks dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji oraz niewłaściwej walidacji danych wejściowych w funkcji rgfr_registration(). Dotyczy to wszystkich wersji do 2.0.6 włącznie.

CVE-2025-42957
Critical

SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka umożliwia wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-42950
Critical

SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2024-32640
Critical

MASA CMS to platforma zarządzania treścią oparta na technologii open source. Wersje przed 7.4.5, 7.3.12 i 7.2.7 zawierają podatność na wstrzykiwanie SQL w metodzie `processAsyncObject`, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-53187
Critical

W wyniku problemu z konfiguracją, kod przeznaczony do celów debugowania został uwzględniony w wersji rynkowej ASPECT FW, co pozwala atakującemu na ominięcie uwierzytelnienia. Ta podatność może umożliwić atakującemu zmianę czasu systemowego, dostęp do plików oraz wywoływanie funkcji bez wcześniejszego uwierzytelnienia.

CVE-2025-8853
Critical

Oficjalny system zarządzania dokumentami opracowany przez 2100 Technology posiada podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym zdalnym atakującym na uzyskanie tokena połączenia dowolnego użytkownika i zalogowanie się do systemu jako ten użytkownik.

CVE-2025-6573
Critical

Oprogramowanie jądra zainstalowane i działające w niezaufanym/rozbudowanym środowisku wykonawczym (REE) może ujawniać informacje z zaufanego środowiska wykonawczego (TEE).

CVE-2012-10047
Critical

Cyclope Employee Surveillance Solution versions 6.x are vulnerable to a SQL injection flaw in its login mechanism. The username parameter in the auth-login POST request is not properly sanitized, allowing attackers to inject arbitrary SQL statements.

CVE-2025-5095
Critical

Mechanizm zmiany hasła w urządzeniu Burk Technology ARC Solo może być wykorzystany bez odpowiednich procedur uwierzytelniania, co pozwala atakującemu na przejęcie urządzenia. Żądanie zmiany hasła można wysłać bezpośrednio do punktu końcowego HTTP urządzenia bez podawania ważnych poświadczeń.

CVE-2025-52913
Critical

Podatność w komponencie NuPoint Unified Messaging (NPM) Mitel MiCollab do wersji 9.8 SP2 (9.8.2.12) może pozwolić nieautoryzowanemu atakującemu na przeprowadzenie ataku typu path traversal z powodu niewystarczającej walidacji danych wejściowych. Udany atak może umożliwić dostęp do danych użytkowników oraz konfiguracji systemu.

CVE-2025-8284
Critical

Interfejs internetowy do monitorowania i kontroli mocy pakietów domyślnie nie wymusza mechanizmów uwierzytelniania. Ta podatność może umożliwić nieautoryzowanym użytkownikom dostęp do funkcji monitorowania i kontroli oraz ich manipulację.

CVE-2025-8731
Critical

Zidentyfikowano podatność w urządzeniach TRENDnet TI-G160i, TI-PG102i oraz TPL-430AP do wersji 20250724, dotycząca usługi SSH. Manipulacja prowadzi do możliwości wykorzystania domyślnych poświadczeń, co może umożliwić zdalny atak.

CVE-2025-8730
Critical

Wykryto krytyczną podatność w urządzeniach Belkin F9K1009 i F9K1010 w wersjach 2.00.04/2.00.09. Problem dotyczy nieznanej funkcjonalności interfejsu webowego, co prowadzi do ujawnienia twardo zakodowanych poświadczeń.

CVE-2025-54887
Critical

jwe to implementacja standardu JSON Web Encryption (JWE) w języku Ruby. W wersjach 1.1.0 i poniżej, tagi autoryzacyjne zaszyfrowanych JWEs mogą być łamane metodą brute force, co prowadzi do utraty poufności tych JWEs oraz umożliwia tworzenie dowolnych JWEs.

CVE-2025-54952
Critical

Podatność typu przepełnienie całkowitej liczby w ładowaniu modeli ExecuTorch może prowadzić do alokacji mniejszych niż oczekiwano obszarów pamięci, co potencjalnie skutkuje wykonaniem kodu lub innymi niepożądanymi efektami. Problem dotyczy wersji ExecuTorch przed commit 8f062d3f661e20bb19b24b767b9a9a46e8359f2b.

PreviousPage 222 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS