CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-9762
Critical

Wtyczka Post By Email dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_attachments we wszystkich wersjach do 1.0.4b włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-8625
Critical

Wtyczka Copypress Rest API dla WordPressa jest podatna na zdalne wykonanie kodu poprzez funkcję copyreap_handle_image() w wersjach od 1.1 do 1.2. Wtyczka używa wbudowanego klucza do podpisywania JWT, gdy nie zdefiniowano sekretu, oraz nie ogranicza typów plików, które mogą być pobierane i zapisywane jako załączniki.

CVE-2025-11148
Critical

Wszystkie wersje pakietu check-branches są podatne na atak typu Command Injection. Narzędzie to, używane lokalnie lub w CI, służy do potwierdzania braku konfliktów w gałęziach git, jednak z powodu zaufania do nazw gałęzi i łączenia ich z wejściem użytkownika, może być narażone na nadużycia.

CVE-2024-58040
Critical

Crypt::RandomEncryption dla Perla w wersji 0.01 wykorzystuje niebezpieczną funkcję rand() podczas szyfrowania, co może prowadzić do osłabienia bezpieczeństwa danych. Użycie tej funkcji może skutkować przewidywalnymi kluczami szyfrującymi.

CVE-2025-57266
Critical

W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.

CVE-2024-13150
Critical

W podatności CVE-2024-13150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie fayton.Pro ERP. Problem ten dotyczy wersji oprogramowania do 29 września 2025 roku.

CVE-2025-11126
Critical

W Apeman ID71 odkryto lukę bezpieczeństwa, która dotyczy nieznanego kodu w pliku /system/www/system.ini. W wyniku manipulacji w tym pliku mogą zostać ujawnione twardo zakodowane dane uwierzytelniające.

CVE-2025-59936
Critical

W wersjach wcześniejszych niż 11.0.2, w get-jwks występuje podatność, która może prowadzić do zanieczyszczenia pamięci podręcznej w mechanizmie pobierania kluczy JWKS. Problem polega na tym, że walidacja roszczenia iss (issuer) odbywa się dopiero po pobraniu kluczy z pamięci podręcznej, co pozwala na ponowne wykorzystanie kluczy z nieoczekiwanego źródła.

CVE-2025-59934
Critical

Formbricks, alternatywa dla Qualtrics, przed wersją 4.0.1 nie weryfikował podpisów JWT. W wyniku tego, mechanizm walidacji tokenów jedynie dekodował JWT, co umożliwiało atakującym tworzenie fałszywych tokenów do logowania i resetowania haseł.

CVE-2025-58384
Critical

W DOXENSE WATCHDOC przed wersją 6.1.1.5332 występuje podatność na deserializację niezaufanych danych, co może prowadzić do zdalnego wykonania kodu poprzez bibliotekę .NET Remoting w interfejsie administracyjnym Watchdoc.

CVE-2025-60219
Critical

Podatność CVE-2025-60219 w HaruTheme WooCommerce Designer Pro umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WooCommerce Designer Pro od n/a do 1.9.24.

CVE-2025-60156
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce webandprint AR For WordPress umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji AR For WordPress od n/a do 8.34 włącznie.

CVE-2025-20363
Critical

Podatność w usługach internetowych oprogramowania Cisco Secure Firewall ASA, FTD, IOS, IOS XE oraz IOS XR może umożliwić zdalnemu atakującemu, który nie jest uwierzytelniony (w przypadku ASA i FTD) lub uwierzytelnionemu atakującemu z niskimi uprawnieniami (w przypadku IOS, IOS XE i IOS XR), wykonanie dowolnego kodu na podatnym urządzeniu. Problem wynika z niewłaściwej walidacji danych wejściowych dostarczonych przez użytkownika w żądaniach HTTP.

CVE-2025-59823
Critical

Projekt Gardener umożliwia automatyczne zarządzanie i obsługę klastrów Kubernetes jako usługi. W wersjach wcześniejszych niż 1.64.0 dla dostawców AWS, 1.55.0 dla Azure, 1.49.0 dla OpenStack oraz 1.46.0 dla GCP może wystąpić możliwość wstrzyknięcia kodu w rozszerzeniach Gardenera.

CVE-2025-10542
Critical

iMonitor EAM w wersji 9.6394 dostarczany jest z domyślnymi danymi logowania dla administratora, które są również wyświetlane w oknie połączenia klienta zarządzającego. Jeśli administrator nie zmieni tych domyślnych danych, zdalny atakujący może uwierzytelnić się na serwerze EAM i uzyskać pełną kontrolę nad monitorowanymi agentami oraz danymi.

CVE-2020-36851
Critical

Cors-anywhere instances configured as open proxies allow unauthenticated external users to induce the server to make HTTP requests to arbitrary targets (SSRF). Attackers can access internal endpoints and metadata services, leading to credential theft and unauthorized access to internal services.

CVE-2025-10894
Critical

Do pakietu Nx (systemu budowania) oraz kilku powiązanych wtyczek wprowadzono złośliwy kod. Zmodyfikowany pakiet został opublikowany w rejestrze oprogramowania npm w wyniku ataku na łańcuch dostaw.

CVE-2025-10585
CriticalActively exploitedEPSS 92%

A type confusion vulnerability in the V8 engine of Google Chrome prior to version 140.0.7339.185 allows a remote attacker to potentially exploit heap corruption via a crafted HTML page. The issue is rated as high severity.

CVE-2025-9054
Critical

Wtyczka MultiLoca - WooCommerce Multi Locations Inventory Management dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień. Problem wynika z braku sprawdzenia uprawnień w funkcji 'wcmlim_settings_ajax_handler' we wszystkich wersjach do 4.2.8 włącznie.

CVE-2025-41715
Critical

Baza danych aplikacji webowej jest wystawiona bez uwierzytelnienia, co pozwala nieautoryzowanemu zdalnemu atakującemu uzyskać dostęp i potencjalnie ją skompromitować.

PreviousPage 224 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS