CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-13538
Critical

Wtyczka FindAll Listing dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.5. Problem wynika z funkcji 'findall_listing_user_registration_additional_params', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-50433
Critical

A vulnerability in imonnit.com (as of 2025-04-24) allows attackers to escalate privileges via a crafted password reset, enabling takeover of arbitrary user accounts.

CVE-2025-65669
Critical

In classroomio 0.1.13, student accounts can delete courses from the Explore page without any authorization or authentication checks, bypassing the expected admin-only deletion restriction.

CVE-2025-64130
Critical

Zenitel TCIV-3+ jest podatny na refleksyjną podatność typu cross-site scripting, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2025-64128
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niekompletnej walidacji danych wejściowych dostarczonych przez użytkownika. Niewystarczające zasady formatowania mogą umożliwić atakującym dodawanie dowolnych danych.

CVE-2025-64127
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewystarczającego oczyszczania danych wejściowych dostarczanych przez użytkownika. Aplikacja akceptuje parametry, które są później włączane do poleceń systemowych bez odpowiedniej walidacji.

CVE-2025-64126
Critical

Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewłaściwej walidacji danych wejściowych. Aplikacja akceptuje parametr bez weryfikacji, czy jest to prawidłowy adres IP, co może umożliwić atakującemu wstrzyknięcie dowolnych poleceń.

CVE-2025-62354
Critical

Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach systemowych ('iniekcja poleceń') w Cursor umożliwia nieautoryzowanemu atakującemu wykonywanie poleceń spoza dozwolonej listy, co prowadzi do wykonania dowolnego kodu.

CVE-2025-64657
Critical

W Azure Application Gateway występuje przepełnienie bufora na stosie, które może zostać wykorzystane przez nieautoryzowanego atakującego do podniesienia uprawnień w sieci.

CVE-2025-13597
Critical

Wtyczka AI Feeds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w pliku 'actualizador_git.php' we wszystkich wersjach do 1.0.11 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-13595
Critical

Wtyczka CIBELES AI dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w pliku 'actualizador_git.php' w wersjach do 1.10.8 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów z GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-61168
Critical

A vulnerability in the cms_rest.php component of SIGB PMB v8.0.1.14 allows attackers to execute arbitrary code by unserializing an arbitrary file.

CVE-2025-65085
Critical

A Heap-based Buffer Overflow vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior. This could allow an attacker to disclose information or execute arbitrary code.

CVE-2025-65084
Critical

An Out-of-Bounds Write vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior that could allow an attacker to disclose information or execute arbitrary code.

CVE-2025-64693
Critical

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora w stercie podczas przetwarzania Content-Length. Otrzymanie specjalnie przygotowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-62691
Critical

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora na stosie podczas przetwarzania nagłówków HTTP. Otrzymanie specjalnie skonstruowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-13559
Critical

Wtyczka EduKart Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z funkcji 'edukart_pro_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-6389
Critical

Wtyczka Sneeit Framework dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 8.3, poprzez funkcję sneeit_articles_pagination_callback(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane do call_user_func().

CVE-2025-65108
Critical

Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2025-64767
Critical

hpke-js to moduł Hybrydowego Szyfrowania Klucza Publicznego (HPKE) oparty na API kryptografii internetowej. Przed wersją 1.7.5, publiczna metoda Seal() w SenderContext miała warunek wyścigu, co pozwalało na wielokrotne użycie tego samego nonce AEAD dla różnych wywołań Seal().

PreviousPage 205 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS