CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-53314
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce sh1zen WP Optimizer wp-optimizer umożliwia wykonanie ataku SQL Injection. Problem ten dotyczy wersji WP Optimizer od n/a do 2.5.0 włącznie.

CVE-2025-53260
Critical

Podatność CVE-2025-53260 dotyczy wtyczki File Manager dla WordPressa, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2025-52834
Critical

W podatności CVE-2025-52834 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Homey w wersjach od n/a do 2.4.7.

CVE-2025-52829
Critical

W podatności CVE-2025-52829 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce DirectIQ Email Marketing. Problem ten dotyczy wersji od n/a do 2.0 włącznie.

CVE-2025-52725
Critical

Podatność CVE-2025-52725 dotyczy deserializacji niezaufanych danych w systemie CouponXxL, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CouponXxL od n/a do 3.0.0 włącznie.

CVE-2025-52724
Critical

Podatność CVE-2025-52724 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes Amwerk, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Amwerk od n/a do 1.2.0 włącznie.

CVE-2025-52722
Critical

W podatności CVE-2025-52722 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w klasie Classiera. Problem dotyczy wersji Classiera od n/a do 4.0.34 włącznie.

CVE-2025-52717
Critical

W podatności CVE-2025-52717 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce LifterLMS. Problem ten dotyczy wersji LifterLMS od n/a do 8.0.6.

CVE-2025-49885
Critical

Podatność CVE-2025-49885 dotyczy wtyczki HaruTheme Drag and Drop Multiple File Upload (Pro) dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2025-39474
Critical

Podatność CVE-2025-39474 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w ThemeMove Amely. Problem ten dotyczy wersji Amely od n/a do 3.1.4 włącznie.

CVE-2025-28970
Critical

Podatność CVE-2025-28970 dotyczy deserializacji niezaufanych danych w wtyczce WP Optimize By xTraffic, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 5.1.6 włącznie.

CVE-2025-23967
Critical

Wtyczka GG Bought Together dla WooCommerce zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji od n/a do 1.0.2.

CVE-2024-12827
Critical

Motyw DWT - Directory & Listing dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.3.6 włącznie. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed zresetowaniem hasła użytkownika w funkcji dwt_listing_reset_password().

CVE-2025-3699
Critical

W podatności typu 'Brak uwierzytelnienia dla krytycznej funkcji' w produktach Mitsubishi Electric Corporation, atakujący zdalny i nieautoryzowany może obejść proces uwierzytelniania, co pozwala na nielegalne kontrolowanie systemów klimatyzacyjnych lub ujawnianie informacji w nich zawartych. Dodatkowo, atakujący może manipulować oprogramowaniem układowym tych urządzeń.

CVE-2025-49603
Critical

Serwer Northern.tech Mender w wersjach przed 3.7.11 oraz 4.x przed 4.0.1 ma błędną kontrolę dostępu. To może prowadzić do nieautoryzowanego dostępu do zasobów systemowych.

CVE-2025-6561
Critical

Niektóre modele hybrydowych rejestratorów wideo (HBF-09KD i HBF-16NK) firmy Hunt Electronic mają podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu oraz pozyskać hasła administratora w postaci niezaszyfrowanej.

CVE-2025-4334
Critical

Wtyczka Simple User Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 6.3 włącznie. Problem wynika z niewystarczających ograniczeń dotyczących wartości meta użytkownika, które mogą być podawane podczas rejestracji.

CVE-2024-51978
Critical

Nieautoryzowany atakujący, znający numer seryjny docelowego urządzenia, może wygenerować domyślne hasło administratora dla tego urządzenia. Atakujący może najpierw odkryć numer seryjny urządzenia za pomocą CVE-2024-51977 przez HTTP/HTTPS/IPP, lub za pomocą żądania PJL, lub przez żądanie SNMP.

CVE-2025-52572
Critical

Hikka, użytkownik bota Telegram, ma podatność, która dotyczy wszystkich użytkowników we wszystkich wersjach. Istnieją dwa scenariusze: brak uwierzytelnionej sesji w interfejsie webowym, co pozwala atakującemu na zdalne wykonanie kodu (RCE), oraz uwierzytelniona sesja, gdzie użytkownicy mogą przypadkowo zezwolić atakującemu na dostęp do swoich kont Telegram.

CVE-2025-52571
Critical

Hikka to bot użytkownika Telegram. Podatność dotyczy wszystkich użytkowników wersji poniżej 1.6.2, w tym większości forków, i pozwala nieautoryzowanemu atakującemu uzyskać dostęp do konta Telegram ofiary oraz pełny dostęp do serwera. Problem został naprawiony w wersji 1.6.2.

PreviousPage 251 of 575Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS