CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-2812
Critical

W podatności CVE-2025-2812 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Mydata Informatics Ticket Sales Automation. Problem dotyczy wersji przed 03.04.2025.

CVE-2025-3746
Critical

Wtyczka OTP-less one tap Sign in dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 2.0.14 do 2.0.59. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-35996
Critical

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

CVE-2025-32011
Critical

Wersje KUNBUS PiCtory od 2.5.0 do 2.11.1 mają podatność na obejście uwierzytelniania, która pozwala zdalnemu atakującemu na ominięcie procesu uwierzytelniania dzięki wykorzystaniu przejścia przez ścieżkę.

CVE-2025-24522
Critical

KUNBUS Revolution Pi OS Bookworm 01/2025 jest podatny, ponieważ domyślnie nie skonfigurowano uwierzytelniania dla serwera Node-RED. To umożliwia nieautoryzowanemu zdalnemu atakującemu pełny dostęp do serwera Node-RED, co pozwala na uruchamianie dowolnych poleceń w systemie operacyjnym.

CVE-2025-46337
Critical

ADOdb to biblioteka klas baz danych PHP, która umożliwia wykonywanie zapytań i zarządzanie bazami danych. Przed wersją 5.22.9, niewłaściwe zabezpieczenie parametru zapytania mogło pozwolić atakującemu na wykonanie dowolnych instrukcji SQL, gdy kod korzystający z ADOdb łączył się z bazą danych PostgreSQL i wywoływał pg_insert_id() z danymi dostarczonymi przez użytkownika.

CVE-2025-27007
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Brainstorm Force OttoKit suretriggers umożliwia eskalację uprawnień. Problem ten dotyczy wersji OttoKit od n/a do 1.0.82 włącznie.

CVE-2025-47154
Critical

LibJS w Ladybird przed wersją f5a6704 niewłaściwie zarządza zwalnianiem wektora, do którego odnosi się arguments_list, co prowadzi do błędu use-after-free. To umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą spreparowanego pliku .js.

CVE-2025-25962
Critical

Problem w Coresmartcontracts Uniswap w wersji 3.0, naprawiony w wersji 4.0, umożliwia zdalnemu atakującemu eskalację uprawnień za pomocą funkcji _modifyPosition.

CVE-2025-25403
Critical

Slims (Senayan Library Management Systems) w wersji 9 Bulian V9.6.1 jest podatny na atak typu SQL Injection w pliku admin/modules/master_file/coll_type.php. Wykorzystanie tej podatności może pozwolić atakującemu na wykonanie nieautoryzowanych zapytań do bazy danych.

CVE-2025-4083
Critical

Podatność w Thunderbirdzie związana z izolacją procesów wynikała z niewłaściwego przetwarzania URI javascript:, co mogło pozwolić na wykonanie treści w procesie dokumentu głównego zamiast w zamierzonym ramce, co potencjalnie umożliwiało ucieczkę z piaskownicy.

CVE-2025-45953
Critical

A vulnerability in PHPGurukul Hostel Management System 2.1 in the /hostel/change-password.php file of the user panel (Change Password component) allows session hijacking. Improper session data handling enables remote session takeover.

CVE-2025-45949
Critical

A critical vulnerability in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel. Improper session data handling allows a Session Hijacking attack, leading to account takeover.

CVE-2025-45947
Critical

A vulnerability in the Online Banquet Booking System V1.2 allows a remote attacker to execute arbitrary code via the /obbs/change-password.php file in the change password component.

CVE-2025-3200
Critical

Podatność CVE-2025-3200 dotyczy nieautoryzowanego zdalnego atakującego, który może wykorzystać niebezpieczne protokoły TLS 1.0 i TLS 1.1 do przechwytywania i manipulowania zaszyfrowanymi komunikacjami między Com-Server a podłączonymi systemami.

CVE-2025-32980
Critical

NETSCOUT nGeniusONE w wersjach przed 6.4.0 P11 b3245 ma słabą konfigurację Sudo, co może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2024-56156
Critical

Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.

CVE-2025-32432
Critical

Craft to elastyczny, przyjazny dla użytkownika system zarządzania treścią (CMS), który umożliwia tworzenie niestandardowych doświadczeń cyfrowych. Wersje od 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17 są podatne na zdalne wykonanie kodu.

CVE-2025-2470
Critical

Wtyczka Service Finder Bookings dla WordPressa, używana w motywie Service Finder - Directory and Job Board, jest podatna na eskalację uprawnień we wszystkich wersjach do 5.1 włącznie. Problem wynika z braku ograniczeń dotyczących ról użytkowników w funkcji 'nsl_registration_store_extra_input'.

CVE-2025-46616
Critical

API interfejsu graficznego Quantum StorNext przed wersją 7.2.4 umożliwia potencjalne zdalne wykonanie dowolnego kodu (RCE) poprzez przesłanie pliku. Dotyczy to również StorNext RYO, StorNext Xcellis Workflow Director oraz ActiveScale Cold Storage przed wersją 7.2.4.

PreviousPage 265 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS