CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-30215
Critical

NATS-Server, serwer wysokowydajny dla systemu wiadomości NATS.io, ma lukę w zarządzaniu zasobami JetStream w wersjach od 2.2.0 do przed 2.10.27 oraz 2.11.1. Niektóre żądania API JS nie miały odpowiednich kontroli dostępu, co pozwalało użytkownikom z uprawnieniami do zarządzania JS w jednym koncie na wykonywanie działań administracyjnych na zasobach JS w innych kontach.

CVE-2025-30967
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w NotFound WPJobBoard umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy WPJobBoard w nieokreślonym zakresie wersji.

CVE-2025-26927
Critical

Podatność CVE-2025-26927 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w LiquidThemes AI Hub, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AI Hub od n/a do 1.3.7 włącznie.

CVE-2025-32445
Critical

Argo Events to framework automatyzacji workflow oparty na zdarzeniach dla Kubernetes. Użytkownik z uprawnieniami do tworzenia/modyfikowania zasobów EventSource i Sensor może uzyskać uprzywilejowany dostęp do systemu hosta i klastra, nawet bez bezpośrednich uprawnień administracyjnych.

CVE-2025-30206
Critical

Dpanel to system wizualizacji Dockera, który zawiera w swojej domyślnej konfiguracji twardo zakodowany sekret JWT. Ta podatność pozwala atakującym na generowanie ważnych tokenów JWT, co może prowadzić do przejęcia kontroli nad maszyną hosta.

CVE-2025-2567
Critical

Atakujący mógłby modyfikować lub dezaktywować ustawienia, zakłócać monitorowanie paliwa oraz operacje w łańcuchu dostaw, co prowadziłoby do wyłączenia monitorowania ATG. Może to skutkować potencjalnymi zagrożeniami dla bezpieczeństwa w przechowywaniu i transportowaniu paliwa.

CVE-2021-27289
Critical

Wykryto podatność na atak powtórzeniowy w zestawie inteligentnego domu Zigbee produkowanym przez Ksix, gdzie mechanizm anty-replay oparty na polu licznika ramek jest niewłaściwie zaimplementowany. Atakujący w zasięgu bezprzewodowym może ponownie wysłać przechwycone pakiety z wyższym numerem sekwencyjnym, co pozwala na wstrzykiwanie fałszywych poleceń bez autoryzacji.

CVE-2025-32911
CriticalEPSS 52%

A use-after-free vulnerability was found in the libsoup library, in the soup_message_headers_get_content_disposition() function. This flaw allows a malicious HTTP client to cause memory corruption in the libsoup server.

CVE-2025-30985
Critical

Podatność CVE-2025-30985 dotyczy deserializacji niezaufanych danych w systemie GNUCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GNUCommerce od n/a do 1.5.4 włącznie.

CVE-2025-1782
Critical

In the HylaFAX Enterprise Web Interface and AvantFAX, the language form element is not properly sanitized before being used, which can be exploited to include an arbitrary file in the PHP code.

CVE-2025-32931
Critical

DevDojo Voyager w wersjach od 1.4.0 do 1.8.0, przy użyciu Laravel 8 lub nowszego, umożliwia uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemu operacyjnego za pomocą określonego polecenia php artisan.

CVE-2025-23391
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w SUSE Rancher pozwala na to, aby Ograniczony Administrator zmienił hasło Administratorów i przejął ich konta. Problem dotyczy wersji rancher: od 2.8.0 do przed 2.8.14, od 2.9.0 do przed 2.9.8, od 2.10.0 do przed 2.10.4.

CVE-2025-32607
Critical

Podatność typu deserializacja niezaufanych danych w usłudze WpBookingly od magepeopleteam umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpBookingly od n/a do 1.3.0 włącznie.

CVE-2025-32603
Critical

Podatność CVE-2025-32603 dotyczy wtyczki WP Online Users Stats, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.0.0.

CVE-2025-32579
Critical

Podatność CVE-2025-32579 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Sync Posts firmy SoftClever Limited. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2025-32577
Critical

W podatności CVE-2025-32577 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.

CVE-2025-32569
Critical

Podatność CVE-2025-32569 dotyczy deserializacji niezaufanych danych w RealMag777 TableOn, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji TableOn od n/a do 1.0.4.3 włącznie.

CVE-2025-32568
Critical

Podatność CVE-2025-32568 dotyczy deserializacji niezaufanych danych w wtyczce EmpikPlace dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.3 włącznie.

CVE-2025-32565
Critical

Podatność CVE-2025-32565 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w produkcie Neon Product Designer dla WooCommerce. Problem ten dotyczy wersji od n/a do 2.2.0 włącznie.

CVE-2025-32491
Critical

W podatności CVE-2025-32491 występuje nieprawidłowe przypisanie uprawnień w wtyczce Rankology SEO – On-site SEO, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.2.4 włącznie.

PreviousPage 269 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS