CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-60772
Critical

W interfejsie zarządzania opartym na sieci web urządzenia NETLINK HG322G V1.0.00-231017 występuje niewłaściwa autoryzacja, która umożliwia zdalnemu, nieautoryzowanemu atakującemu eskalację uprawnień oraz zablokowanie dostępu do konta prawowitego administratora za pomocą odpowiednio skonstruowanych żądań HTTP.

CVE-2025-10640
Critical

Nieautoryzowany atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może wykorzystać brak serwerowych kontroli uwierzytelniania, aby ominąć ekran logowania w konsoli WorkExaminer Professional i uzyskać dostęp administracyjny do serwera. To umożliwia dostęp do wszystkich wrażliwych danych monitorujących, w tym zrzutów ekranu i naciśnięć klawiszy wszystkich użytkowników.

CVE-2025-10916
Critical

Wtyczka FormGent dla WordPressa w wersjach przed 1.0.4 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-61303
Critical

Podatność w silniku analizy behawioralnej systemu Windows 10 pozwala na ominięcie detekcji próbek złośliwego oprogramowania poprzez ich rekurencyjne uruchamianie, co prowadzi do wyczerpania zasobów systemowych. W efekcie kluczowe złośliwe zachowania mogą nie być rejestrowane ani raportowane.

CVE-2025-9574
Critical

W podatności CVE-2025-9574 występuje brak uwierzytelnienia dla krytycznej funkcji w urządzeniach ABB ALS-mini-s4 IP oraz ABB ALS-mini-s8 IP. Problem ten dotyczy wszystkich wersji oprogramowania układowego z numerem seryjnym od 2000 do 5166.

CVE-2025-54957
Critical

W wersjach Dolby UDC od 4.5 do 4.13 odkryto problem, który może prowadzić do awarii procesu dekodera DD+ podczas przetwarzania źle sformatowanego strumienia bitowego DD+. Błąd w obliczeniach długości zapisu może spowodować przepełnienie, co skutkuje zbyt małym przydzielonym buforem i nieskuteczną kontrolą dostępu do pamięci.

CVE-2025-61455
Critical

W aplikacji Bhabishya-123 E-commerce w wersji 1.0 występuje podatność na atak typu SQL Injection w punkcie końcowym signup.inc.php. Aplikacja bezpośrednio włącza niesanitizowane dane wejściowe użytkowników do zapytań SQL, co pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia i uzyskanie pełnego dostępu.

CVE-2025-11948
Critical

System zarządzania dokumentami opracowany przez Excellent Infotek posiada podatność na nieautoryzowane przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.

CVE-2025-11391
Critical

Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-62515
Critical

W wersjach 0.3.1 i wcześniejszych frameworka pyquokka, klasa FlightServer używa funkcji pickle.loads() do deserializacji danych akcji otrzymywanych od klientów Flight bez jakiejkolwiek sanitizacji lub walidacji. To stwarza możliwość wykonania zdalnego kodu przez atakujących, gdy FlightServer jest skonfigurowany do nasłuchiwania na 0.0.0.0.

CVE-2025-56218
Critical

An arbitrary file upload vulnerability in SigningHub v8.6.8 allows attackers to execute arbitrary code via uploading a crafted PDF file.

CVE-2025-62353
Critical

Wszystkie wersje IDE Windsurf zawierają podatność typu przejście ścieżki, która umożliwia atakującemu odczyt i zapis dowolnych lokalnych plików w obrębie oraz poza aktualnymi projektami na systemie użytkownika końcowego. Do podatności można uzyskać dostęp bezpośrednio oraz poprzez pośrednie wstrzykiwanie poleceń.

CVE-2025-60279
Critical

W podatności CVE-2025-60279 w Illia Cloud illia-Builder przed wersją 4.8.5 występuje luka typu server-side request forgery (SSRF), która pozwala uwierzytelnionym użytkownikom na wysyłanie dowolnych żądań do wewnętrznych usług za pośrednictwem API. Atakujący może wykorzystać tę lukę do enumeracji otwartych portów na podstawie różnic w odpowiedziach oraz interakcji z wewnętrznymi usługami.

CVE-2025-57567
CriticalEPSS 53%

A remote code execution (RCE) vulnerability exists in the PluXml CMS theme editor, specifically in the minify.php file under the default theme directory. An authenticated administrator can overwrite this file with arbitrary PHP code via the admin panel.

CVE-2025-49655
Critical

W wersjach frameworka Keras od 3.11.0 do 3.11.2 może wystąpić deserializacja nieufnych danych, co pozwala na uruchomienie dowolnego kodu na systemie końcowego użytkownika. Złośliwie przesłany plik Keras zawierający klasę TorchModuleWrapper może zostać załadowany mimo włączonego trybu bezpiecznego.

CVE-2023-28815
Critical

Niektóre wersje produktu iSecure Center firmy Hikvision zawierają niewystarczającą walidację parametrów, co prowadzi do podatności na wstrzykiwanie poleceń. Atakujący mogą wykorzystać tę lukę, aby uzyskać uprawnienia platformy i wykonywać dowolne polecenia w systemie.

CVE-2023-28814
Critical

Niektóre wersje produktu iSecure Center firmy Hikvision mają lukę związaną z niewłaściwą kontrolą przesyłania plików. Z powodu niewłaściwej weryfikacji plików do przesłania, atakujący mogą przesyłać złośliwe pliki na serwer.

CVE-2025-11849
Critical

Wersje pakietu mammoth od 0.3.25 do przed 1.11.0 są podatne na atak typu Directory Traversal z powodu braku walidacji ścieżek lub typów plików podczas przetwarzania pliku docx zawierającego obraz z zewnętrznym linkiem. Atakujący może odczytać dowolne pliki na systemie, w którym odbywa się konwersja, lub spowodować nadmierne zużycie zasobów.

CVE-2025-11900
Critical

iSherlock opracowany przez HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-10850
Critical

Wtyczka Felan Framework dla WordPressa jest podatna na niewłaściwą autoryzację w wersjach do 1.1.4 włącznie. Problem wynika z hardcodowanego hasła w funkcjach 'fb_ajax_login_or_register' oraz 'google_ajax_login_or_register', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik, jeśli zarejestrował się za pomocą logowania społecznościowego Facebook lub Google i nie zmienił hasła.

PreviousPage 211 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS