CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-64055
Critical

An issue was discovered in Fanvil x210 V2 version 2.12.20 allowing unauthenticated attackers on the local network to bypass authentication and access administrative functions such as file upload, firmware update, and device reboot.

CVE-2025-66489
Critical

Cal.com to oprogramowanie do planowania, które przed wersją 5.9.8 miało lukę w dostawcy poświadczeń logowania. Umożliwia ona atakującemu ominięcie weryfikacji hasła przy podaniu kodu TOTP, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2025-64443
Critical

MCP Gateway w wersjach 0.27.0 i wcześniejszych jest podatny na atak DNS rebinding, gdy działa w trybie sse lub streaming transport. Atakujący może wykorzystać tę podatność, aby manipulować serwerami MCP działającymi za bramą, jeśli ofiara odwiedzi złośliwą stronę internetową lub zobaczy złośliwą reklamę.

CVE-2025-13342
Critical

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na nieautoryzowaną modyfikację dowolnych opcji WordPressa we wszystkich wersjach do 3.28.20 włącznie. Problem wynika z niewystarczających kontroli uprawnień i walidacji danych wejściowych w funkcji ActionOptions::run() odpowiedzialnej za zapis.

CVE-2025-13486
Critical

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na zdalne wykonanie kodu w wersjach od 0.9.0.5 do 0.9.1.1 poprzez funkcję prepare_form(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func_array().

CVE-2025-13542
Critical

Wtyczka DesignThemes LMS dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.4 włącznie. Problem wynika z funkcji 'dtlms_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-66409
Critical

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

CVE-2025-41744
Critical

Seria SPRECON-E firmy Sprecher Automations używa domyślnych kluczy kryptograficznych, co pozwala nieuprzywilejowanemu zdalnemu atakującemu uzyskać dostęp do wszystkich zaszyfrowanych komunikacji, naruszając poufność i integralność.

CVE-2025-41742
Critical

Sprecher Automations SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 są podatne na atak ze strony nieautoryzowanego zdalnego napastnika poprzez domyślne klucze kryptograficzne. Wykorzystanie tych kluczy umożliwia napastnikowi odczyt, modyfikację oraz zapis projektów i danych, a także dostęp do urządzeń poprzez zdalną konserwację.

CVE-2025-66410
Critical

Gin-vue-admin to system zarządzania zapleczem oparty na Vue i Gin. W wersjach 2.8.6 i wcześniejszych, atakujący mogą dowolnie usuwać pliki na serwerze, co prowadzi do uszkodzenia lub niedostępności zasobów serwera.

CVE-2025-66405
Critical

Portkey.ai Gateway przed wersją 1.14.0 ustalał docelowy baseURL na podstawie wartości w nagłówku x-portkey-custom-host. To może być wykorzystane przez użytkowników do przeprowadzenia ataków SSRF.

CVE-2025-66401
Critical

MCP Watch to kompleksowy skaner bezpieczeństwa dla serwerów Model Context Protocol (MCP). W wersji 0.1.2 i wcześniejszych klasa MCPScanner zawiera krytyczną podatność na wstrzyknięcie poleceń w metodzie cloneRepo, gdzie argument githubUrl jest przekazywany bezpośrednio do powłoki systemowej bez sanitizacji.

CVE-2025-51683
Critical

A blind SQL injection vulnerability in mJobtime v15.7.2 allows unauthenticated attackers to execute arbitrary SQL statements via a crafted POST request to the /Default.aspx/update_profile_Server endpoint.

CVE-2025-51682
Critical

The vulnerability in mJobtime 15.7.2 handles authorization on the client side, allowing an attacker to modify client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

CVE-2025-3500
Critical

W podatności CVE-2025-3500 występuje przepełnienie lub owinięcie liczb całkowitych w programie Avast Antivirus (wersja 25.1.981.6) na systemie Windows, co umożliwia eskalację uprawnień. Problem dotyczy wersji programu od 25.1.981.6 do przed 25.3.

CVE-2025-35028
Critical

Podatność CVE-2025-35028 pozwala na wykonanie polecenia w kontekście serwera MCP z normalnymi uprawnieniami, zazwyczaj jako root, poprzez dostarczenie argumentu wiersza poleceń zaczynającego się od średnika do punktu końcowego API. W domyślnej konfiguracji serwera MCP nie ma próby sanitizacji tych argumentów.

CVE-2025-13615
Critical

Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-13675
Critical

Motyw Tiger dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do i włącznie z 101.2.1. Problem wynika z braku ograniczeń w pliku 'paypal-submit.php', który pozwala na rejestrację użytkowników z rolą 'administrator'.

CVE-2025-13540
Critical

Wtyczka Tiare Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2. Problem wynika z funkcji 'tiare_membership_init_rest_api_register', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-13539
Critical

Wtyczka FindAll Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.4. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'findall_membership_check_facebook_user' oraz 'findall_membership_check_google_user'.

PreviousPage 204 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS