CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-10742
Critical

Wtyczka Truelysell Core dla WordPressa jest podatna na nieautoryzowaną zmianę haseł użytkowników w wersjach do 1.8.6 włącznie. Problem wynika z udostępnienia przez wtyczkę dostępu do obiektów kontrolowanego przez użytkownika, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-53521
Critical

Podatność CVE-2025-53521 dotyczy systemu BIG-IP APM, gdzie skonfigurowana polityka dostępu na serwerze wirtualnym może być wykorzystana przez złośliwy ruch do zdalnego wykonania kodu (RCE).

CVE-2025-9967
Critical

Wtyczka Orion SMS OTP Verification dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.1.7. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-10294
Critical

Wtyczka OwnID Passwordless Login dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.3.4. Problem wynika z niewłaściwego sprawdzania, czy wartość ownid_shared_secret jest pusta przed uwierzytelnieniem użytkownika za pomocą JWT.

CVE-2025-10041
Critical

Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_qr_code_to_db() we wszystkich wersjach do i włącznie z 1.2.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-11721
Critical

W Firefoxie 143 i Thunderbirdu 143 występuje błąd związany z bezpieczeństwem pamięci, który wykazuje oznaki uszkodzenia pamięci. Istnieje przypuszczenie, że przy wystarczającym wysiłku mógłby zostać wykorzystany do uruchomienia dowolnego kodu.

CVE-2025-11719
Critical

W wersji Thunderbird 143 wystąpiła podatność związana z używaniem natywnego API wiadomości przez rozszerzenia internetowe na systemie Windows, co mogło prowadzić do awarii spowodowanych korupcją pamięci typu use-after-free. Podatność ta została naprawiona w wersjach Firefox 144 i Thunderbird 144.

CVE-2025-11717
Critical

Podatność CVE-2025-11717 dotyczy przeglądarki Firefox, która wyświetla czarny ekran podczas przełączania się między aplikacjami na Androidzie, jeśli ostatnio używana była ekran związany z hasłem. Wcześniej, przed wersją Firefox 144, ekran edycji hasła był widoczny.

CVE-2025-11710
Critical

Podatność CVE-2025-11710 dotyczy procesu przeglądarki, który mógł ujawniać fragmenty swojej pamięci do skompromitowanego procesu za pomocą złośliwych wiadomości IPC. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-11709
Critical

Podatność CVE-2025-11709 pozwala na wywołanie odczytów i zapisów poza dozwolonym zakresem w bardziej uprzywilejowanym procesie przez skompromitowany proces webowy, wykorzystując zmanipulowane tekstury WebGL. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-11708
Critical

W podatności CVE-2025-11708 występuje błąd use-after-free w funkcji MediaTrackGraphImpl::GetInstance(). Problem ten został naprawiony w wersjach Firefox 144, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-10610
Critical

Podatność CVE-2025-10610 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Winsure. Problem ten dotyczy wersji oprogramowania do 21.08.2025.

CVE-2025-40771
Critical

Zidentyfikowano podatność w urządzeniach SIMATIC CP 1542SP-1, CP 1542SP-1 IRC, CP 1543SP-1 oraz SIPLUS ET 200SP, które są w wersjach poniżej V2.4.24. Problemy dotyczą niewłaściwej autoryzacji połączeń konfiguracyjnych, co może umożliwić nieautoryzowanemu atakującemu zdalny dostęp do danych konfiguracyjnych.

CVE-2025-46581
Critical

Produkt ZXCDN firmy ZTE jest podatny na lukę w zabezpieczeniach Struts, która umożliwia zdalne wykonanie kodu (RCE). Nieautoryzowany atakujący może zdalnie wykonywać polecenia z uprawnieniami niebędącymi uprawnieniami administratora.

CVE-2025-42937
Critical

Usługa druku SAP (SAPSprint) nie przeprowadza wystarczającej walidacji informacji o ścieżkach dostarczanych przez użytkowników. Nieautoryzowany atakujący może przejść do katalogu nadrzędnego i nadpisać pliki systemowe, co prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42910
Critical

Brak weryfikacji typu pliku lub jego zawartości w SAP Supplier Relationship Management umożliwia uwierzytelnionemu atakującemu przesyłanie dowolnych plików. Pliki te mogą zawierać pliki wykonywalne, które mogą być pobrane i uruchomione przez użytkownika, co stwarza ryzyko złośliwego oprogramowania.

CVE-2025-6919
Critical

W systemie Aykome License Tracking występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji przed datą 06.10.2025.

CVE-2025-9976
Critical

Podatność typu OS Command Injection w aplikacji Station Launcher na platformie 3DEXPERIENCE, od wersji R2022x do R2025x, może umożliwić atakującemu wykonanie dowolnego kodu na maszynie użytkownika.

CVE-2025-6439
Critical

Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie wszystkich plików w dowolnym katalogu na serwerze.

CVE-2025-6553
Critical

Wtyczka Ovatheme Events Manager dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji process_checkout() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

PreviousPage 212 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS