CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-7444
Critical

Wtyczka LoginPress Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 5.0.1 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.

CVE-2025-26855
Critical

Wtyczka Articles Calendar w wersjach 1.0.0 - 1.0.1.0007 dla Joomla zawiera podatność na wstrzykiwanie SQL, która pozwala atakującym na wykonywanie dowolnych poleceń SQL.

CVE-2025-26854
Critical

Wtyczka Articles Good Search w wersjach 1.0.0 - 1.2.4.0011 dla Joomla zawiera podatność na wstrzykiwanie SQL, co pozwala atakującym na wykonywanie dowolnych poleceń SQL.

CVE-2025-7643
Critical

Wtyczka Attachment Manager dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_actions() we wszystkich wersjach do 2.1.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-6222
Critical

Motyw WooCommerce Refund And Exchange with RMA - Warranty Management, Refund Policy, Manage User Wallet dla WordPress jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'ced_rnx_order_exchange_attach_files' we wszystkich wersjach do 3.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-6185
Critical

Leviton AcquiSuite i Energy Monitoring Hub są podatne na atak typu cross-site scripting, co pozwala napastnikowi na stworzenie złośliwego ładunku w parametrach URL. Po dostępie przez użytkownika, ładunek ten może zostać wykonany w przeglądarce klienta, co prowadzi do kradzieży tokenów sesji i przejęcia kontroli nad usługą.

CVE-2025-7398
Critical

Brocade ASCG w wersjach przed 3.3.0 umożliwia użycie algorytmów kryptograficznych o średniej sile na portach wewnętrznych 9000 i 8036.

CVE-2025-6391
Critical

Brocade ASCG przed wersją 3.3.0 rejestruje JSON Web Tokens (JWT) w plikach dziennika. Atakujący z dostępem do tych plików może uzyskać niezaszyfrowane tokeny, co stwarza poważne zagrożenia dla bezpieczeństwa.

CVE-2025-23266
Critical

NVIDIA Container Toolkit dla wszystkich platform zawiera podatność w niektórych hookach używanych do inicjalizacji kontenera, która pozwala atakującemu na wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Udany atak może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji oraz odmowy usługi.

CVE-2025-54068
Critical

Livewire to pełnostackowy framework dla Laravel. W wersjach Livewire v3 do v3.6.3 występuje podatność, która pozwala nieautoryzowanym atakującym na zdalne wykonanie poleceń w określonych scenariuszach, związana z aktualizacjami właściwości komponentów.

CVE-2025-50240
Critical

W wersji nbcio-boot v1.0.3 odkryto podatność na wstrzykiwanie SQL poprzez parametr userIds w ścieżce /sys/user/deleteRecycleBin.

CVE-2025-53867
Critical

A vulnerability in Island Lake WebBatch before version 2025C allows remote code execution via a crafted URL. An attacker can send a specially crafted HTTP request, leading to arbitrary code execution on the server.

CVE-2025-25257
Critical

W Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 występuje podatność na wstrzykiwanie SQL (SQL Injection), która pozwala nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez odpowiednio skonstruowane żądania HTTP lub HTTPS.

CVE-2025-7712
Critical

Wtyczka Madara - Core dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji wp_manga_delete_zip() we wszystkich wersjach do 2.2.3 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-5396
Critical

Wtyczka Bears Backup dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.0.0. Problem wynika z braku sprawdzenia uprawnień w funkcji bbackup_ajax_handle() oraz niewalidowania danych wejściowych dostarczonych przez użytkownika, co umożliwia nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2025-52836
Critical

W podatności CVE-2025-52836 występuje błędne przypisanie uprawnień w systemie E-Commerce ERP firmy Unity Business Technology Pty Ltd, co umożliwia eskalację uprawnień. Problem dotyczy wersji E-Commerce ERP od n/a do 2.1.1.3 włącznie.

CVE-2025-52714
Critical

W podatności CVE-2025-52714 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem dotyczy wersji Traveler od n/a do poniżej 3.2.2.

CVE-2025-48300
Critical

Podatność CVE-2025-48300 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Groundhogg, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Groundhogg od n/a do 4.2.1.

CVE-2025-30973
Critical

Podatność na deserializację niezaufanych danych w systemie CoSchool LMS firmy Codexpert, Inc. umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CoSchool LMS od n/a do 1.4.3 włącznie.

CVE-2025-30949
Critical

Podatność CVE-2025-30949 dotyczy deserializacji niezaufanych danych w aplikacji Guru Team Site Chat na platformie Telegram, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Site Chat na Telegram od n/a do 1.0.4 włącznie.

PreviousPage 242 of 571Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS