CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-4993
Critical

Podatność typu dereferencja wskaźnika niezaufanego w RTI Connext Professional (biblioteki podstawowe) umożliwia manipulację wskaźnikami. Problem dotyczy wersji Connext Professional od 7.4.0 do przed 7.6.0, od 7.0.0 do przed 7.3.0.10, od 6.1.0 do przed 6.1.2.27, od 6.0.0 do przed 6.0.1.43, od 5.3.0 do przed 5.3.*, oraz od 4.4a do przed 5.2.*.

CVE-2025-9846
Critical

Podatność CVE-2025-9846 dotyczy systemu Inka.Net, który przed wersją 6.7.1 pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wstrzyknięcia poleceń.

CVE-2025-10412
Critical

Wtyczka Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu błędnej walidacji typów plików w funkcji 'uni_cpo_upload_file' w wersjach do 4.9.55 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-10147
Critical

Wtyczka Podlove Podcast Publisher dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'move_as_original_file' we wszystkich wersjach do 4.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-9588
Critical

W podatności CVE-2025-9588 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wstrzyknięcia poleceń w usłudze archiwizacji EnVision firmy Iron Mountain. Problem ten dotyczy wersji EnVision przed 250563.

CVE-2025-9321
Critical

Wtyczka WPCasa dla WordPressa jest podatna na wstrzykiwanie kodu we wszystkich wersjach do i włącznie z 1.4.1. Problem wynika z niewystarczającej walidacji danych wejściowych oraz ograniczeń w funkcji 'api_requests'.

CVE-2025-26399
Critical

SolarWinds Web Help Desk jest podatny na nieautoryzowaną deserializację AjaxProxy, co może prowadzić do zdalnego wykonania kodu. W przypadku wykorzystania tej podatności, atakujący może uruchomić polecenia na maszynie gospodarza. Jest to obejście poprawek dla CVE-2024-28988, które z kolei jest obejściem dla CVE-2024-28986.

CVE-2025-59434
Critical

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed sierpniem 2025 roku, w Cloud-Hosted Flowise, istniała uwierzytelniona podatność, która pozwalała użytkownikom na darmowym poziomie dostępu do wrażliwych zmiennych środowiskowych innych najemców za pośrednictwem węzła Custom JavaScript Function.

CVE-2025-58255
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce yonisink Custom Post Type Images umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.5 włącznie.

CVE-2025-57602
Critical

Niewystarczające zabezpieczenie konta proxyuser w platformie zarządzania IoT AiKaan, w połączeniu z użyciem wspólnego, zakodowanego klucza prywatnego SSH, umożliwia zdalnym atakującym uwierzytelnienie się w kontrolerze chmurowym, uzyskanie dostępu do powłoki interaktywnej oraz przejście do innych podłączonych urządzeń IoT. Może to prowadzić do zdalnego wykonania kodu, ujawnienia informacji oraz eskalacji uprawnień w środowiskach klientów.

CVE-2025-57601
Critical

AiKaan Cloud Controller wykorzystuje jednego hardcodowanego klucza prywatnego SSH oraz nazwę użytkownika `proxyuser` do zdalnego dostępu terminalowego do wszystkich zarządzanych urządzeń IoT/edge. W momencie, gdy administrator inicjuje 'Otwórz zdalny terminal' z pulpitu AiKaan, kontroler wysyła ten sam statyczny klucz prywatny do docelowego urządzenia, co stwarza ryzyko nieautoryzowanego dostępu.

CVE-2025-40925
Critical

Wersje Starch 0.14 i wcześniejsze generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji zwraca skrót SHA-1, który jest podatny na przewidywanie.

CVE-2025-5948
Critical

Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 6.0 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed przejęciem biznesu przy użyciu akcji AJAX claim_business.

CVE-2025-10690
Critical

Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w funkcji 'beplus_import_pack_install_plugin' we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshale podszywające się pod wtyczki, co prowadzi do zdalnego wykonania kodu.

CVE-2025-54807
Critical

Wrażliwość polega na tym, że klucz używany do walidacji tokenów uwierzytelniających jest zakodowany w oprogramowaniu urządzenia w dotkniętych wersjach. Atakujący, który zdobędzie ten klucz, może obejść proces uwierzytelniania, uzyskując pełny dostęp do systemu.

CVE-2025-30519
Critical

Urządzenia Dover Fueling Solutions ProGauge MagLink LX4 mają domyślne dane logowania dla konta root, które nie mogą być zmienione za pomocą standardowych metod administracyjnych. Atakujący z dostępem do sieci urządzenia może uzyskać dostęp administracyjny do systemu.

CVE-2024-13151
Critical

Podatność CVE-2024-13151 dotyczy oprogramowania Auto Service firmy ESBI Information and Telecommunication Industry and Trade Limited Company, które pozwala na wstrzyknięcie kodu SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach przed 2025.10.01.

CVE-2025-6237
Critical

Podatność w wersji v6.0.0a1 i wcześniejszych invokeai umożliwia atakującym przeprowadzenie ataku typu path traversal oraz usunięcie dowolnych plików za pomocą punktu końcowego GET /api/v1/images/download/{bulk_download_item_name}. Manipulując argumentami nazwy pliku, atakujący mogą odczytać i usunąć dowolne pliki na serwerze, w tym krytyczne pliki systemowe.

CVE-2025-8942
Critical

Wtyczka WP Hotel Booking dla WordPressa przed wersją 2.2.3 nie posiada odpowiedniej walidacji po stronie serwera dla ocen recenzji, co pozwala atakującemu na manipulację wartością oceny (np. wysyłanie wartości negatywnych lub poza zakresem) poprzez przechwytywanie i modyfikowanie żądań.

CVE-2025-5305
Critical

Wtyczka WordPress Password Reset with Code dla API REST WordPressa w wersjach przed 0.0.17 nie wykorzystuje algorytmów kryptograficznych do generowania kodów OTP, co może prowadzić do przejęcia konta.

PreviousPage 225 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS