CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Problem ten został rozwiązany poprzez poprawę zarządzania stanem. Podatność została naprawiona w Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 oraz visionOS 2.4. Istnieje możliwość, że strona internetowa może obejść politykę tej samej domeny.
Podatność CVE-2025-48336 dotyczy deserializacji niezaufanych danych w wtyczce ThimPress Course Builder, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Course Builder od n/a do poniżej 3.6.6.
Podatność w modułach CPU serii MELSEC iQ-F firmy Mitsubishi Electric polega na niewłaściwej walidacji określonego indeksu, pozycji lub przesunięcia w danych wejściowych. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu odczyt informacji z produktu oraz wywołanie stanu Denial-of-Service (DoS) w połączeniu MELSOFT lub zatrzymanie działania modułu CPU.
A vulnerability in Tenda W18E router version 2.0 with firmware 16.01.0.11 allows remote arbitrary code execution. The flaw resides in the account editing functionality within the goform/setmodules route.
Serwer MCP aws-mcp-server jest podatny na wstrzykiwanie poleceń. Atakujący może stworzyć komunikat, który po otwarciu przez klienta MCP uruchomi dowolne polecenia na systemie gospodarza.
Urządzenia są podatne na obejście uwierzytelniania z powodu wad w mechanizmie autoryzacji. Nieautoryzowany zdalny atakujący może wykorzystać tę słabość, przeprowadzając ataki brute-force w celu odgadnięcia prawidłowych poświadczeń lub stosując techniki kolizji MD5 do fałszowania hashy uwierzytelniających.
Brak uwierzytelnienia w krytycznej funkcji urządzeń pozwala nieautoryzowanemu atakującemu zdalnie wykonywać dowolne polecenia. Może to umożliwić nieautoryzowane przesyłanie lub pobieranie plików konfiguracyjnych, co prowadzi do pełnego kompromitacji systemu.
W podatności CVE-2025-23394 występuje problem z podążaniem za symbolicznymi linkami w cyrus-imapd na openSUSE Tumbleweed, co pozwala na eskalację uprawnień z cyrus do roota. Dotyczy to wersji cyrus-imapd przed 3.8.4-2.1.
Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_image() we wszystkich wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji delete_file() w wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Podatność na deserializację niezaufanych danych w AncoraThemes Kids Planet pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Kids Planet od n/a do 2.2.14 włącznie.
Podatność CVE-2025-48287 dotyczy deserializacji niezaufanych danych w systemie Pagaleve Pix 4x sem juros, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.6.9 włącznie.
W podatności CVE-2025-48283 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Majestic Support. Problem ten dotyczy wersji od n/a do 1.1.0 włącznie.
Podatność CVE-2025-47687 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w StoreKeeper dla WooCommerce, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji StoreKeeper dla WooCommerce od n/a do 14.4.4.
Podatność CVE-2025-47663 w systemie zarządzania szpitalem mojoomla umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji systemu od 47.0(20 do 11.
Podatność CVE-2025-47658 dotyczy systemu ELEX WordPress HelpDesk & Customer Ticketing, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 3.2.9 włącznie.
W mechanizmie odzyskiwania hasła w Gilblas Ngunte Possi PSW Front-end Login & Registration występuje podatność, która umożliwia wykorzystanie procesu odzyskiwania hasła. Problem ten dotyczy wersji od n/a do 1.13 włącznie.
Podatność CVE-2025-47642 dotyczy Ajar Productions Ajar in5 Embed, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-47641 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Printcart Web to Print Product Designer dla WooCommerce. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
W podatności CVE-2025-47640 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w integracji Printcart Web to Print Product Designer dla WooCommerce. Problem dotyczy wersji od n/a do 2.4.0 włącznie.

