CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-40916
Critical

Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.

CVE-2025-6172
Critical

W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.

CVE-2025-6169
Critical

Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-6065
Critical

Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-46060
CriticalEPSS 53%

A buffer overflow vulnerability was found in the TOTOLINK N600R router firmware version 4.3.0cu.7866_B2022506. A remote attacker can exploit the UPLOAD_FILENAME component to execute arbitrary code.

CVE-2025-29902
Critical

Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.

CVE-2025-46783
Critical

W RICOH Streamline NX V3 PC Client w wersjach od 3.5.0 do 3.242.0 występuje podatność na przejście ścieżki. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na komputerze, na którym działa produkt, poprzez manipulację określonymi plikami używanymi przez produkt.

CVE-2025-5288
Critical

Wtyczka REST API | Custom API Generator For Cross Platform And Import Export w WordPressie jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji process_handler(). Atakujący bez uwierzytelnienia mogą wysłać dowolny URL import_api oraz zaimportować specjalnie przygotowany JSON, co pozwala na utworzenie nowego użytkownika z pełnymi uprawnieniami Administratora.

CVE-2022-4976
Critical

Biblioteka Archive::Unzip::Burst w wersjach od 0.01 do 0.09 dla Perla zawiera zintegrowaną bibliotekę InfoZip, która jest podatna na kilka luk w zabezpieczeniach.

CVE-2025-40912
Critical

CryptX dla Perla przed wersją 0.065 zawiera zależność, która może być podatna na źle sformatowany unicode. Biblioteka tomcrypt, osadzona w CryptX, w wersjach przed 0.065 może być podatna na CVE-2019-17362.

CVE-2025-40914
Critical

Perl CryptX przed wersją 0.087 zawiera zależność, która może być podatna na przepełnienie całkowite. Biblioteka CryptX osadza wersję biblioteki libtommath, która jest podatna na przepełnienie całkowite związane z CVE-2023-36328.

CVE-2025-32711
Critical

W M365 Copilot występuje podatność na wstrzyknięcie poleceń AI, która umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2025-49710
Critical

W `OrderedHashTable` używanym przez silnik JavaScript wystąpił przepełnienie całkowitej liczby całkowitej. Ta podatność została naprawiona w Firefoxie 139.0.4.

CVE-2025-49709
Critical

Niektóre operacje na kanwie mogły prowadzić do uszkodzenia pamięci. Ta podatność została naprawiona w wersji Firefox 139.0.4.

CVE-2025-41663
Critical

W API zarządzania u-link, nieautoryzowany atakujący w pozycji man-in-the-middle może wstrzykiwać dowolne polecenia w odpowiedziach zwracanych przez serwery WWH, które są następnie wykonywane z podwyższonymi uprawnieniami. Aby uzyskać taką pozycję, klienci muszą korzystać z niebezpiecznych konfiguracji proxy.

CVE-2025-40585
Critical

Zidentyfikowano podatność w Energy Services (wszystkie wersje z G5DFR), która polega na obecności domyślnych danych uwierzytelniających. Może to umożliwić atakującemu przejęcie kontroli nad komponentem G5DFR i manipulację jego wyjściami.

CVE-2025-49507
Critical

Podatność CVE-2025-49507 dotyczy deserializacji niezaufanych danych w aplikacji LoftOcean CozyStay, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CozyStay od n/a do poniżej 1.7.1.

CVE-2025-49455
Critical

W podatności CVE-2025-49455 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce ClickandPledge WordPress-WPJobBoard. Problem dotyczy wersji WordPress-WPJobBoard od n/a do 25.07010000-WP6.8.1-JB5.11.5.

CVE-2025-43698
Critical

Podatność związana z niewłaściwym zachowaniem uprawnień w Salesforce OmniStudio (FlexCards) umożliwia obejście kontroli bezpieczeństwa na poziomie pól dla obiektów Salesforce. Problem ten dotyczy OmniStudio przed wiosną 2025 roku.

CVE-2025-42989
Critical

Przetwarzanie przychodzące RFC nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień. W przypadku pomyślnego wykorzystania podatności, atakujący może krytycznie wpłynąć na integralność i dostępność aplikacji.

PreviousPage 255 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS