CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-58951
Critical

W podatności CVE-2025-58951 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie zarządzania rezerwacjami miejsc smartcms Advance dla WooCommerce. Problem ten dotyczy wersji od n/a do 3.1 włącznie.

CVE-2025-54723
Critical

Podatność CVE-2025-54723 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes DentiCare, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji DentiCare od n/a do poniżej 1.4.3.

CVE-2025-53433
Critical

W podatności CVE-2025-53433 występuje niewłaściwe zarządzanie nazwą pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wersji EasyEat od n/a do 1.9.0 włącznie.

CVE-2025-68435
Critical

Zerobyte to narzędzie do automatyzacji kopii zapasowych, które w wersjach przed 0.18.5 i 0.19.0 zawiera podatność na obejście uwierzytelniania. Problem polega na tym, że middleware uwierzytelniające nie jest prawidłowo stosowane do punktów końcowych API, co umożliwia dostęp do nich bez ważnych poświadczeń sesji.

CVE-2025-68145
Critical

W wersjach mcp-server-git przed 2025.12.17, serwer uruchamiany z flagą --repository nie weryfikował, czy argumenty repo_path w kolejnych wywołaniach narzędzi mieszczą się w skonfigurowanej ścieżce. To mogło pozwolić na operacje na innych repozytoriach dostępnych dla procesu serwera.

CVE-2025-43526
Critical

Problem dotyczy niewłaściwej walidacji adresów URL w Safari, co może pozwolić na wykorzystanie interfejsów API Web w kontekście, który powinien być ograniczony. Został naprawiony w wersji Safari 26.2 oraz macOS Tahoe 26.2.

CVE-2025-43428
Critical

Problem z konfiguracją został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Problem ten został naprawiony w iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 oraz visionOS 26.2, gdzie zdjęcia w albumie Ukryte mogą być przeglądane bez uwierzytelnienia.

CVE-2025-44005
Critical

Atakujący może obejść kontrole autoryzacji i zmusić dostawcę Step CA ACME lub SCEP do tworzenia certyfikatów bez ukończenia określonych kontroli autoryzacji protokołu.

CVE-2025-68270
Critical

Platforma Open edX to system zarządzania nauczaniem. Przed wprowadzeniem poprawki, użytkownicy z rolą CourseLimitedStaffRole mogli uzyskać dostęp do edytowania kursów w studio, jeśli przyznano im tę rolę na poziomie organizacji, a nie kursu.

CVE-2025-33210
Critical

NVIDIA Isaac Lab zawiera podatność na deserializację. Udane wykorzystanie tej podatności może prowadzić do wykonania dowolnego kodu.

CVE-2023-53899
Critical

PodcastGenerator w wersji 3.2.9 zawiera podatność na ślepą serwerową fałszywą prośbę (SSRF), która umożliwia atakującym wstrzykiwanie XML w formularzu przesyłania odcinka. Atakujący mogą manipulować parametrem 'shortdesc', aby wywołać zewnętrzne żądania HTTP do dowolnych punktów końcowych podczas tworzenia odcinka podcastu.

CVE-2025-65319
Critical

The vulnerability in Blue Mail 1.140.103 and earlier causes documents to be saved to the file system without a Mark-of-the-Web tag when using the attachment interaction functionality. This allows attackers to bypass the built-in file protection mechanisms of Windows OS and third-party software.

CVE-2025-65318
Critical

A vulnerability in Canary Mail 5.1.40 and earlier causes documents to be saved without a Mark-of-the-Web tag when using the attachment interaction functionality. This allows attackers to bypass built-in file protection mechanisms of Windows OS and third-party software.

CVE-2025-13888
Critical

W OpenShift GitOps znaleziono lukę, która pozwala administratorom przestrzeni nazw na tworzenie niestandardowych zasobów ArgoCD, co może prowadzić do przyznania podwyższonych uprawnień w innych przestrzeniach nazw, w tym w przestrzeniach uprzywilejowanych. Uwierzytelniony atakujący może wykorzystać te uprawnienia do tworzenia uprzywilejowanych obciążeń działających na węzłach głównych, co skutkuje dostępem root do całego klastra.

CVE-2025-14156
Critical

Wtyczka Fox LMS – WordPress LMS Plugin dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.5.1 włącznie. Problem wynika z niewłaściwej walidacji parametru 'role' podczas tworzenia nowych użytkowników przez punkt końcowy REST API `/fox-lms/v1/payments/create-order`.

CVE-2025-14665
Critical

W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /goform/DhcpListClient komponentu obsługi żądań HTTP. Manipulacja argumentem 'page' prowadzi do przepełnienia bufora na stosie.

CVE-2025-14440
Critical

Wtyczka JAY Login & Register dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.4.01 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia w funkcji 'jay_login_register_process_switch_back' z wartością ciasteczka 'jay_login_register_process_switch_back'.

CVE-2025-11693
Critical

Wtyczka Export WP Page to Static HTML & PDF dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.4 włącznie, poprzez publicznie dostępne pliki cookies.txt zawierające ciasteczka uwierzytelniające. Umożliwia to nieautoryzowanym atakującym dostęp do ciasteczek, które mogły zostać wstrzyknięte do pliku dziennika, jeśli administrator strony uruchomił kopię zapasową przy użyciu określonej roli użytkownika, takiej jak 'administrator'.

CVE-2025-10738
Critical

Wtyczka URL Shortener dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'analytic_id' we wszystkich wersjach do 3.0.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-58311
Critical

System Dormakaba Saflok 6000 zawiera przewidywalny algorytm generowania kluczy, który umożliwia atakującym wyprowadzenie kluczy dostępu do kart na podstawie 32-bitowego unikalnego identyfikatora. Atakujący mogą wykorzystać deterministyczny proces generowania kluczy, obliczając ważne klucze dostępu za pomocą prostej transformacji matematycznej unikalnego identyfikatora karty.

PreviousPage 201 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS