CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-43931
Critical

Podatność w flask-boilerplate umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany. W związku z tym resetowanie hasła zależy od nagłówka Host w żądaniu HTTP.

CVE-2025-43930
Critical

Hashview w wersji 0.8.1 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.

CVE-2025-3626
Critical

Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.

CVE-2025-41672
Critical

Zdalny, nieautoryzowany atakujący może wykorzystać domyślne certyfikaty do generowania tokenów JWT, co pozwala na uzyskanie pełnego dostępu do narzędzia oraz wszystkich podłączonych urządzeń.

CVE-2025-48501
Critical

W wersjach 2.3 i 2.4 Nimesa Backup and Recovery występuje problem z wstrzykiwaniem poleceń systemowych. W przypadku wykorzystania tej podatności, na serwerze, na którym działa produkt, mogą być wykonywane dowolne polecenia systemowe.

CVE-2025-26850
Critical

Agent w Quest KACE Systems Management Appliance (SMA) przed wersją 14.0.97 oraz 14.1.x przed wersją 14.1.19 potencjalnie umożliwia eskalację uprawnień na zarządzanych systemach.

CVE-2025-53484
Critical

Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.

CVE-2025-52833
Critical

W podatności CVE-2025-52833 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie designthemes LMS. Problem ten dotyczy wersji LMS od n/a do 9.2 włącznie.

CVE-2025-52832
Critical

Podatność CVE-2025-52832 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce wpo-HR NGG Smart Image Search. Problem ten dotyczy wersji od n/a do 3.4.1 włącznie.

CVE-2025-52831
Critical

W podatności CVE-2025-52831 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w menedżerze list wideo Video List Manager w wersjach od n/a do 1.7.

CVE-2025-52830
Critical

W bSecure – Your Universal Checkout występuje podatność na SQL Injection, która pozwala na przeprowadzenie tzw. Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.7.9 włącznie.

CVE-2025-49867
Critical

W podatności CVE-2025-49867 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.4.0.

CVE-2025-49417
Critical

Podatność CVE-2025-49417 dotyczy deserializacji niezaufanych danych w wtyczce WooCommerce Product Multi-Action, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.3 włącznie.

CVE-2025-49414
Critical

Podatność CVE-2025-49414 w FW Gallery firmy Fastw3b LLC umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji FW Gallery od n/a do 8.0.0 włącznie.

CVE-2025-49302
Critical

Podatność CVE-2025-49302 dotyczy niewłaściwej kontroli generowania kodu w Easy Stripe, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji Easy Stripe od n/a do 1.1 włącznie.

CVE-2025-30933
Critical

Podatność CVE-2025-30933 w LiquidThemes LogisticsHub umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji LogisticsHub od n/a do 1.1.6 włącznie.

CVE-2025-28983
Critical

Podatność CVE-2025-28983 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości eskalacji uprawnień w ClickandPledge Click & Pledge Connect. Problem ten dotyczy wersji od 25.04010101 do WP6.8.

CVE-2025-23970
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w usłudze aonetheme Service Finder Booking sf-booking umożliwia eskalację uprawnień. Problem ten dotyczy wersji Service Finder Booking od n/a do 6.1 włącznie.

CVE-2025-28951
Critical

Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-23968
Critical

Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.

PreviousPage 249 of 575Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS