Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-52773
Krytyczne

Podatność CVE-2025-52773 dotyczy wtyczki HieCOR Payment Gateway, która umożliwia atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach od n/a do 1.5.11 włącznie.

CVE-2025-49393
Krytyczne

Podatność CVE-2025-49393 dotyczy deserializacji niezaufanych danych w aplikacji Fetch Designs Sign-up Sheets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Sign-up Sheets od n/a do 2.3.2 włącznie.

CVE-2025-49372
Krytyczne

W podatności CVE-2025-49372 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w systemie wsparcia biletowego HAPPY od VillaTheme, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji HAPPY od n/a do 1.0.7.

CVE-2025-48089
Krytyczne

W podatności CVE-2025-48089 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w motywie WordPress Education | HiStudy. Problem dotyczy wersji motywu od n/a do poniżej 3.1.0.

CVE-2025-47588
Krytyczne

Podatność CVE-2025-47588 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Dynamic Pricing With Discount Rules dla WooCommerce, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 4.5.9 włącznie.

CVE-2025-32222
Krytyczne

Podatność CVE-2025-32222 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Widget Logic, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji Widget Logic od n/a do 6.0.5 włącznie.

CVE-2025-56231
Krytyczne

Tonec Internet Download Manager w wersji 6.42.41.1 i wcześniejszych nie weryfikuje poprawności certyfikatów SSL, co umożliwia atakującym ominięcie zabezpieczeń aktualizacji.

CVE-2025-55108
Krytyczne

Control-M/Agent jest podatny na zdalne wykonanie kodu bez uwierzytelnienia, nieautoryzowany odczyt i zapis plików oraz podobne działania, gdy mutualne uwierzytelnianie SSL/TLS nie jest włączone (tj. w domyślnej konfiguracji).

CVE-2025-12674
Krytyczne

Wtyczka KiotViet Sync dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji create_media() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-11749
Krytyczne

Wtyczka AI Engine dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.1.3 włącznie, poprzez punkt końcowy REST API /mcp/v1/, który ujawnia wartość 'Bearer Token' przy włączonym 'No-Auth URL'.

CVE-2025-12682
Krytyczne

Wtyczka Easy Upload Files During Checkout dla WordPressa jest podatna na przesyłanie dowolnych plików JavaScript z powodu braku walidacji typu pliku w funkcji 'file_during_checkout' we wszystkich wersjach do 2.9.8 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików JavaScript na serwer dotkniętej witryny.

CVE-2025-12158
Krytyczne

Wtyczka Simple User Capabilities dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji suc_submit_capabilities() we wszystkich wersjach do i włącznie z 1.0. Umożliwia to nieautoryzowanym atakującym podniesienie roli dowolnego konta użytkownika do administratora.

CVE-2025-11008
Krytyczne

Wtyczka CE21 Suite dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 2.3.1 włącznie, poprzez plik dziennika. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, w tym poświadczeń uwierzytelniających.

CVE-2025-11007
Krytyczne

Wtyczka CE21 Suite dla WordPressa jest podatna na nieautoryzowaną aktualizację ustawień wtyczki z powodu braku sprawdzenia uprawnień w akcji AJAX wp_ajax_nopriv_ce21_single_sign_on_save_api_settings w wersjach od 2.2.1 do 2.3.1. Umożliwia to nieautoryzowanym atakującym aktualizację ustawień API wtyczki, w tym tajnego klucza używanego do uwierzytelniania.

CVE-2025-12463
Krytyczne

W kamerach Geutebruck G-Cam E-Series odkryto nieautoryzowaną podatność na SQL Injection poprzez parametr `Group` w skrypcie `/uapi-cgi/viewer/Param.cgi`. Potwierdzono to na kamerze EFD-2130 działającej na wersji oprogramowania 1.12.0.19.

CVE-2025-11953
Krytyczne

Serwer deweloperski Metro, uruchamiany przez CLI społeczności React Native, domyślnie wiąże się z interfejsami zewnętrznymi. Serwer udostępnia punkt końcowy, który jest podatny na wstrzykiwanie poleceń systemowych.

CVE-2025-8900
Krytyczne

Wtyczka Doccure Core dla WordPressa jest podatna na eskalację uprawnień w wersjach do, ale nie włączając, 1.5.4. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'user_type'.

CVE-2025-0987
Krytyczne

Podatność CVE-2025-0987 dotyczy projektu CVLand firmy CB Project Ltd. Co. i polega na obejściu autoryzacji poprzez wstrzykiwanie parametrów kontrolowanych przez użytkownika. Problem ten występuje w wersjach CVLand od 2.1.0 do 20251103.

CVE-2025-11499
Krytyczne

Wtyczka Tablesome Table – Contact Form DB dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_featured_image_from_external_url() w wersjach do 1.1.32 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-11833
Krytyczne

Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.

PoprzedniaStrona 207 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS