CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-32711
Critical

W M365 Copilot występuje podatność na wstrzyknięcie poleceń AI, która umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2025-49710
Critical

W `OrderedHashTable` używanym przez silnik JavaScript wystąpił przepełnienie całkowitej liczby całkowitej. Ta podatność została naprawiona w Firefoxie 139.0.4.

CVE-2025-49709
Critical

Niektóre operacje na kanwie mogły prowadzić do uszkodzenia pamięci. Ta podatność została naprawiona w wersji Firefox 139.0.4.

CVE-2025-41663
Critical

W API zarządzania u-link, nieautoryzowany atakujący w pozycji man-in-the-middle może wstrzykiwać dowolne polecenia w odpowiedziach zwracanych przez serwery WWH, które są następnie wykonywane z podwyższonymi uprawnieniami. Aby uzyskać taką pozycję, klienci muszą korzystać z niebezpiecznych konfiguracji proxy.

CVE-2025-40585
Critical

Zidentyfikowano podatność w Energy Services (wszystkie wersje z G5DFR), która polega na obecności domyślnych danych uwierzytelniających. Może to umożliwić atakującemu przejęcie kontroli nad komponentem G5DFR i manipulację jego wyjściami.

CVE-2025-49507
Critical

Podatność CVE-2025-49507 dotyczy deserializacji niezaufanych danych w aplikacji LoftOcean CozyStay, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CozyStay od n/a do poniżej 1.7.1.

CVE-2025-49455
Critical

W podatności CVE-2025-49455 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce ClickandPledge WordPress-WPJobBoard. Problem dotyczy wersji WordPress-WPJobBoard od n/a do 25.07010000-WP6.8.1-JB5.11.5.

CVE-2025-43698
Critical

Podatność związana z niewłaściwym zachowaniem uprawnień w Salesforce OmniStudio (FlexCards) umożliwia obejście kontroli bezpieczeństwa na poziomie pól dla obiektów Salesforce. Problem ten dotyczy OmniStudio przed wiosną 2025 roku.

CVE-2025-42989
Critical

Przetwarzanie przychodzące RFC nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień. W przypadku pomyślnego wykorzystania podatności, atakujący może krytycznie wpłynąć na integralność i dostępność aplikacji.

CVE-2025-49652
Critical

Brak uwierzytelnienia w funkcji rejestracji Lablup's BackendAI pozwala dowolnym użytkownikom na tworzenie kont użytkowników, które mogą uzyskiwać dostęp do prywatnych danych, nawet gdy rejestracja jest wyłączona.

CVE-2025-48281
Critical

Podatność CVE-2025-48281 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji MyStyle Custom Product Designer w wersjach od n/a do 3.21.1.

CVE-2025-48141
Critical

W podatności CVE-2025-48141 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Multi CryptoCurrency Payments. Problem dotyczy wersji od n/a do 2.0.7.

CVE-2025-48140
Critical

Podatność CVE-2025-48140 dotyczy MetalpriceAPI i polega na niewłaściwej kontroli generowania kodu, co umożliwia atak typu 'Code Injection'. Problem ten występuje w wersjach od n/a do 1.1.4 włącznie.

CVE-2025-48129
Critical

W podatności CVE-2025-48129 występuje nieprawidłowe przypisanie uprawnień w narzędziu Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.4.37 włącznie.

CVE-2025-48123
Critical

W podatności CVE-2025-48123 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light. Problem dotyczy wersji od n/a do 2.4.37 włącznie.

CVE-2025-48122
Critical

W podatności CVE-2025-48122 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light. Problem dotyczy wersji od n/a do 2.4.37 włącznie.

CVE-2025-47608
Critical

W podatności CVE-2025-47608 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Recover abandoned cart for WooCommerce w wersjach od n/a do 2.5. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2025-32291
Critical

Podatność CVE-2025-32291 dotyczy wtyczki SUMO Affiliates Pro, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do poniżej 11.1.0.

CVE-2025-31429
Critical

Podatność CVE-2025-31429 dotyczy deserializacji niezaufanych danych w motywie PressGrid - Frontend Publish Reaction & Multimedia, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.3.1.

CVE-2025-31424
Critical

Podatność CVE-2025-31424 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Lead Capturing Pages w wersjach poniżej 2.6.

PreviousPage 232 of 552Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS