CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-11749
Critical

Wtyczka AI Engine dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.1.3 włącznie, poprzez punkt końcowy REST API /mcp/v1/, który ujawnia wartość 'Bearer Token' przy włączonym 'No-Auth URL'.

CVE-2025-12682
Critical

Wtyczka Easy Upload Files During Checkout dla WordPressa jest podatna na przesyłanie dowolnych plików JavaScript z powodu braku walidacji typu pliku w funkcji 'file_during_checkout' we wszystkich wersjach do 2.9.8 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików JavaScript na serwer dotkniętej witryny.

CVE-2025-12158
Critical

Wtyczka Simple User Capabilities dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji suc_submit_capabilities() we wszystkich wersjach do i włącznie z 1.0. Umożliwia to nieautoryzowanym atakującym podniesienie roli dowolnego konta użytkownika do administratora.

CVE-2025-11008
Critical

Wtyczka CE21 Suite dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 2.3.1 włącznie, poprzez plik dziennika. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, w tym poświadczeń uwierzytelniających.

CVE-2025-11007
Critical

Wtyczka CE21 Suite dla WordPressa jest podatna na nieautoryzowaną aktualizację ustawień wtyczki z powodu braku sprawdzenia uprawnień w akcji AJAX wp_ajax_nopriv_ce21_single_sign_on_save_api_settings w wersjach od 2.2.1 do 2.3.1. Umożliwia to nieautoryzowanym atakującym aktualizację ustawień API wtyczki, w tym tajnego klucza używanego do uwierzytelniania.

CVE-2025-12463
Critical

W kamerach Geutebruck G-Cam E-Series odkryto nieautoryzowaną podatność na SQL Injection poprzez parametr `Group` w skrypcie `/uapi-cgi/viewer/Param.cgi`. Potwierdzono to na kamerze EFD-2130 działającej na wersji oprogramowania 1.12.0.19.

CVE-2025-11953
Critical

Serwer deweloperski Metro, uruchamiany przez CLI społeczności React Native, domyślnie wiąże się z interfejsami zewnętrznymi. Serwer udostępnia punkt końcowy, który jest podatny na wstrzykiwanie poleceń systemowych.

CVE-2025-8900
Critical

Wtyczka Doccure Core dla WordPressa jest podatna na eskalację uprawnień w wersjach do, ale nie włączając, 1.5.4. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'user_type'.

CVE-2025-0987
Critical

Podatność CVE-2025-0987 dotyczy projektu CVLand firmy CB Project Ltd. Co. i polega na obejściu autoryzacji poprzez wstrzykiwanie parametrów kontrolowanych przez użytkownika. Problem ten występuje w wersjach CVLand od 2.1.0 do 20251103.

CVE-2025-11499
Critical

Wtyczka Tablesome Table – Contact Form DB dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_featured_image_from_external_url() w wersjach do 1.1.32 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-11833
Critical

Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.

CVE-2025-29270
Critical

Nieprawidłowa kontrola dostępu w punkcie końcowym realtime.cgi urządzeń Deep Sea Electronics DSE855 w wersjach od 1.1.0 do 1.1.26 umożliwia atakującym uzyskanie dostępu do panelu administracyjnego oraz pełnej kontroli nad urządzeniem.

CVE-2025-6520
Critical

W podatności CVE-2025-6520 w technologii Abis BAPSIS występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji BAPSIS przed 202510271606.

CVE-2025-8489
Critical

Wtyczka King Addons for Elementor dla WordPressa jest podatna na eskalację uprawnień w wersjach od 24.12.92 do 51.1.14. Problem wynika z niewłaściwego ograniczenia ról, które użytkownicy mogą rejestrować.

CVE-2025-5397
Critical

Motyw Noo JobMonster dla WordPressa jest podatny na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 4.8.1. Problem wynika z funkcji check_login(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

CVE-2025-43027
Critical

Zidentyfikowano krytyczną podatność w roli ALPR Manager w systemie Security Center, która może umożliwić atakującym uzyskanie dostępu administracyjnego do systemu Genetec Security Center. Problem został odkryty wewnętrznie przez zespół inżynieryjny Genetec.

CVE-2025-50739
Critical

Omni-tools w wersji 0.4.0 jest podatny na zdalne wykonanie kodu z powodu niebezpiecznej deserializacji JSON. Atakujący może wykorzystać tę podatność do uruchomienia dowolnego kodu na zdalnym systemie.

CVE-2025-54469
Critical

Zidentyfikowano podatność w NeuVector, gdzie egzekutor używał zmiennych środowiskowych CLUSTER_RPC_PORT i CLUSTER_LAN_PORT do generowania polecenia wykonywanego za pomocą popen, bez wcześniejszej walidacji ich wartości. To może umożliwić złośliwemu użytkownikowi wstrzyknięcie złośliwych poleceń przez te zmienne w kontenerze egzekutora.

CVE-2025-11202
Critical

Podatność CVE-2025-11202 dotyczy win-cli-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2024-45162
Critical

W kliencie phddns w urządzeniu Blu-Castle BCUM221E w wersji 1.0.0P220507 odkryto problem z przepełnieniem bufora na stosie, który występuje w polu hasła.

PreviousPage 208 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS