CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-23970
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w usłudze aonetheme Service Finder Booking sf-booking umożliwia eskalację uprawnień. Problem ten dotyczy wersji Service Finder Booking od n/a do 6.1 włącznie.

CVE-2025-28951
Critical

Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-23968
Critical

Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.

CVE-2024-13786
Critical

Motyw edukacyjny dla WordPressa jest podatny na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 3.6.10 poprzez deserializację nieufnych danych wejściowych w funkcji 'themerex_callback_view_more_posts'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektu PHP.

CVE-2025-5746
Critical

Wtyczka Drag and Drop Multiple File Upload (Pro) dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji dnd_upload_cf7_upload_chunks(). Dotyczy to wersji 5.0 - 5.0.5 (w połączeniu z motywem PrintSpace) oraz wszystkich wersji do 1.7.1 w wersji samodzielnej.

CVE-2025-52101
Critical

Linjiashop w wersji 0.9 i wcześniejszych jest podatny na błędne zarządzanie dostępem. W przypadku użycia domyślnie generowanej autoryzacji JWT, atakujący mogą obejść proces uwierzytelniania i uzyskać zaszyfrowane 'hasło' oraz 'sól'.

CVE-2025-45006
Critical

W podatności CVE-2025-45006 występuje niewłaściwe zachowanie bitu mstatus.SUM w otwartoźródłowym procesorze RISC-V, co narusza ograniczenia specyfikacji dla trybu uprzywilejowanego. Może to umożliwić ataki na fizyczny dostęp do pamięci.

CVE-2025-53104
Critical

W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.

CVE-2025-49029
Critical

Podatność CVE-2025-49029 dotyczy widgetu Custom Login And Signup Widget w wersjach od n/a do 1.0, który pozwala na wstrzykiwanie kodu. Problem ten wynika z niewłaściwej kontroli generowania kodu.

CVE-2025-41656
Critical

Podatność CVE-2025-41656 pozwala nieautoryzowanemu zdalnemu atakującemu na wykonywanie dowolnych poleceń na podatnych urządzeniach z wysokimi uprawnieniami, ponieważ uwierzytelnienie serwera Node_RED nie jest domyślnie skonfigurowane.

CVE-2025-41648
Critical

Nieautoryzowany zdalny atakujący może obejść logowanie do aplikacji webowej dotkniętych urządzeń, co umożliwia dostęp do wszystkich dostępnych ustawień IndustrialPI oraz ich zmianę.

CVE-2025-6934
Critical

Wtyczka Opal Estate Pro – Zarządzanie Nieruchomościami i Zgłaszanie dla WordPressa, używana przez motyw FullHouse - Responsywny WordPress dla Nieruchomości, jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z braku ograniczeń ról podczas rejestracji w funkcji 'on_regiser_user'.

CVE-2025-45931
CriticalEPSS 67%

An issue in D-Link DIR-816-A2 with firmware DIR-816A2_FWv1.10CNB05_R1B011D88210 allows a remote attacker to execute arbitrary code via the system() function in the bin/goahead file.

CVE-2025-26074
Critical

Orkes Conductor w wersji 3.21.11 umożliwia zdalnym atakującym wykonywanie dowolnych poleceń systemu operacyjnego poprzez nieograniczony dostęp do klas Java.

CVE-2025-24290
Critical

W aplikacji UISP (wersja 2.4.206 i wcześniejsze) zidentyfikowano wiele podatności na ataki typu SQL Injection, które mogą być wykorzystane przez złośliwego aktora z niskimi uprawnieniami do eskalacji swoich uprawnień.

CVE-2025-53391
Critical

Plik zuluPolkit/CMakeLists.txt w pakiecie zulucrypt_6.2.0-1 dla Debiana zawiera niebezpieczne ustawienia PolicyKit allow_any/allow_inactive/allow_active, które umożliwiają lokalnemu użytkownikowi podniesienie swoich uprawnień do poziomu roota.

CVE-2025-32897
Critical

Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.3.0. Problem ten jest identyczny z CVE-2024-47552, ale zakres wersji w tym CVE jest zbyt wąski.

CVE-2025-5310
Critical

Konsolki ProGauge MagLink LX firmy Dover Fueling Solutions udostępniają nieudokumentowany i nieautoryzowany interfejs komunikacyjny TCF na określonym porcie. Umożliwia to tworzenie, usuwanie lub modyfikowanie plików, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-52207
Critical

W MikoPBX w wersji do 2024.1.114 występuje podatność w pliku PostController.php, która umożliwia przesyłanie skryptów PHP do dowolnego katalogu.

CVE-2024-12364
Critical

W podatności CVE-2024-12364 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Mavi Yeşil Software Guest Tracking Software. Problem ten dotyczy oprogramowania do śledzenia gości.

PreviousPage 227 of 552Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS