CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-61043
Critical

Wykryto podatność typu out-of-bounds read w Monkey's Audio 11.31, szczególnie w funkcji CAPECharacterHelper::GetUTF16FromUTF8. Problem wynika z niewłaściwego zarządzania długością wejściowego ciągu UTF-8, co może prowadzić do odczytu poza granicami pamięci.

CVE-2025-12380
Critical

W wersji Firefox 142 istniała możliwość, że skompromitowany proces podrzędny mógł wywołać błąd use-after-free w procesie GPU lub przeglądarki za pomocą wywołań IPC związanych z WebGPU. Ta podatność mogła umożliwić ucieczkę z piaskownicy procesu podrzędnego.

CVE-2025-61385
Critical

Podatność SQL injection w tlocke pg8000 w wersji 1.31.4 umożliwia zdalnym atakującym wykonywanie dowolnych poleceń SQL poprzez specjalnie przygotowany input w postaci listy Pythona do funkcji pg8000.native.literal.

CVE-2025-55754
Critical

A vulnerability in Apache Tomcat related to improper neutralization of ANSI escape sequences in log messages. An attacker could use a specially crafted URL to inject sequences, potentially manipulating the console and clipboard on Windows systems.

CVE-2025-61481
Critical

W MikroTik RouterOS w wersji 7.14.2 oraz SwOS w wersji 2.18 występuje problem, który domyślnie udostępnia interfejs zarządzania WebFig przez niezabezpieczony protokół HTTP. Umożliwia to atakującemu przechwycenie danych logowania poprzez wykonanie wstrzykniętego kodu JavaScript w przeglądarce administratora.

CVE-2025-60291
Critical

W systemie eTimeTrackLite Web do wersji 12.0 (20250704) odkryto lukę w kontroli uprawnień, która pozwala nieautoryzowanym atakującym na dostęp do określonych tras oraz modyfikację konfiguracji połączeń z bazą danych.

CVE-2025-62959
Critical

W podatności CVE-2025-62959 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w aplikacji videowhisper Paid Videochat Turnkey Site w wersjach od n/a do 7.3.23. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na serwerze.

CVE-2025-60803
Critical

Antabot White-Jotter w wersji do commita 9bcadc zawiera podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia, która występuje w komponencie /api/aaa;/../register.

CVE-2025-11253
Critical

W podatności CVE-2025-11253 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Netty ERP przed wersją 1.1000.

CVE-2025-6440
Critical

Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-61934
Critical

W oprogramowaniu Productivity Suite w wersji v4.4.1.19 odkryto podatność związaną z nieograniczonym adresem IP. Umożliwia ona nieautoryzowanemu zdalnemu atakującemu interakcję z symulatorem PLC ProductivityService oraz odczyt, zapis lub usunięcie dowolnych plików i folderów na docelowej maszynie.

CVE-2025-58428
Critical

Interfejs oparty na SOAP w systemie TLS4B ATG jest podatny z powodu dostępności przez handler usług webowych. Ta podatność umożliwia zdalnym atakującym z ważnymi poświadczeniami wykonywanie poleceń na poziomie systemu w systemie Linux.

CVE-2025-11023
Critical

Podatność CVE-2025-11023 dotyczy oprogramowania AcBakImzala w wersjach przed 5.1.4, gdzie występuje możliwość lokalnego włączenia pliku PHP z niezaufanego źródła. Problem ten wynika z niewłaściwego zarządzania nazwami plików w instrukcjach include/require.

CVE-2025-47699
Critical

W systemie integracji Gallagher Morpho występuje podatność, która umożliwia uwierzytelnionemu operatorowi z ograniczonymi uprawnieniami do wprowadzenia krytycznych zmian w lokalnych urządzeniach Morpho. Problem dotyczy serwera Command Centre w wersjach 9.30 przed vEL9.30.2482 (MR2), 9.20 przed vEL9.20.2819 (MR4), 9.10 przed vEL9.10.3672 (MR7), 9.00 przed vEL9.00.3831 (MR8) oraz wszystkich wersji 8.90 i wcześniejszych.

CVE-2025-62025
Critical

Podatność związana z deserializacją niezaufanych danych w wtyczce JobSearch dla WordPressa, dotyczy wersji od n/a do poniżej 3.0.8. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2025-62023
Critical

Podatność CVE-2025-62023 dotyczy niewłaściwej kontroli generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce s2Member autorstwa Cristiána Lávaque. Problem ten dotyczy wersji s2Member od n/a do 250905 włącznie.

CVE-2025-60238
Critical

Podatność na deserializację niezaufanych danych w aplikacji universam-demo pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji UNIVERSAM od n/a do 9.04.02 włącznie.

CVE-2025-60232
Critical

Podatność CVE-2025-60232 dotyczy deserializacji niezaufanych danych w systemie KBx Pro Ultimate, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji KBx Pro Ultimate od n/a do 8.0.5 włącznie.

CVE-2025-60225
Critical

Podatność CVE-2025-60225 dotyczy deserializacji niezaufanych danych w BugsPatrol od AncoraThemes, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji BugsPatrol od n/a do 1.5.0 włącznie.

CVE-2025-60224
Critical

Podatność CVE-2025-60224 dotyczy deserializacji niezaufanych danych w wtyczce Subscribe to Download, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 2.0.9 włącznie.

PreviousPage 209 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS