CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Wtyczka Truelysell Core dla WordPressa jest podatna na nieautoryzowaną zmianę haseł użytkowników w wersjach do 1.8.6 włącznie. Problem wynika z udostępnienia przez wtyczkę dostępu do obiektów kontrolowanego przez użytkownika, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.
Podatność CVE-2025-53521 dotyczy systemu BIG-IP APM, gdzie skonfigurowana polityka dostępu na serwerze wirtualnym może być wykorzystana przez złośliwy ruch do zdalnego wykonania kodu (RCE).
Wtyczka Orion SMS OTP Verification dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.1.7. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.
Wtyczka OwnID Passwordless Login dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.3.4. Problem wynika z niewłaściwego sprawdzania, czy wartość ownid_shared_secret jest pusta przed uwierzytelnieniem użytkownika za pomocą JWT.
Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_qr_code_to_db() we wszystkich wersjach do i włącznie z 1.2.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W Firefoxie 143 i Thunderbirdu 143 występuje błąd związany z bezpieczeństwem pamięci, który wykazuje oznaki uszkodzenia pamięci. Istnieje przypuszczenie, że przy wystarczającym wysiłku mógłby zostać wykorzystany do uruchomienia dowolnego kodu.
W wersji Thunderbird 143 wystąpiła podatność związana z używaniem natywnego API wiadomości przez rozszerzenia internetowe na systemie Windows, co mogło prowadzić do awarii spowodowanych korupcją pamięci typu use-after-free. Podatność ta została naprawiona w wersjach Firefox 144 i Thunderbird 144.
Podatność CVE-2025-11717 dotyczy przeglądarki Firefox, która wyświetla czarny ekran podczas przełączania się między aplikacjami na Androidzie, jeśli ostatnio używana była ekran związany z hasłem. Wcześniej, przed wersją Firefox 144, ekran edycji hasła był widoczny.
Podatność CVE-2025-11710 dotyczy procesu przeglądarki, który mógł ujawniać fragmenty swojej pamięci do skompromitowanego procesu za pomocą złośliwych wiadomości IPC. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
Podatność CVE-2025-11709 pozwala na wywołanie odczytów i zapisów poza dozwolonym zakresem w bardziej uprzywilejowanym procesie przez skompromitowany proces webowy, wykorzystując zmanipulowane tekstury WebGL. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
W podatności CVE-2025-11708 występuje błąd use-after-free w funkcji MediaTrackGraphImpl::GetInstance(). Problem ten został naprawiony w wersjach Firefox 144, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
Podatność CVE-2025-10610 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Winsure. Problem ten dotyczy wersji oprogramowania do 21.08.2025.
Zidentyfikowano podatność w urządzeniach SIMATIC CP 1542SP-1, CP 1542SP-1 IRC, CP 1543SP-1 oraz SIPLUS ET 200SP, które są w wersjach poniżej V2.4.24. Problemy dotyczą niewłaściwej autoryzacji połączeń konfiguracyjnych, co może umożliwić nieautoryzowanemu atakującemu zdalny dostęp do danych konfiguracyjnych.
Produkt ZXCDN firmy ZTE jest podatny na lukę w zabezpieczeniach Struts, która umożliwia zdalne wykonanie kodu (RCE). Nieautoryzowany atakujący może zdalnie wykonywać polecenia z uprawnieniami niebędącymi uprawnieniami administratora.
Usługa druku SAP (SAPSprint) nie przeprowadza wystarczającej walidacji informacji o ścieżkach dostarczanych przez użytkowników. Nieautoryzowany atakujący może przejść do katalogu nadrzędnego i nadpisać pliki systemowe, co prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.
Brak weryfikacji typu pliku lub jego zawartości w SAP Supplier Relationship Management umożliwia uwierzytelnionemu atakującemu przesyłanie dowolnych plików. Pliki te mogą zawierać pliki wykonywalne, które mogą być pobrane i uruchomione przez użytkownika, co stwarza ryzyko złośliwego oprogramowania.
W systemie Aykome License Tracking występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji przed datą 06.10.2025.
Podatność typu OS Command Injection w aplikacji Station Launcher na platformie 3DEXPERIENCE, od wersji R2022x do R2025x, może umożliwić atakującemu wykonanie dowolnego kodu na maszynie użytkownika.
Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie wszystkich plików w dowolnym katalogu na serwerze.
Wtyczka Ovatheme Events Manager dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji process_checkout() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

