CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-35051
Critical

Serwer Newforma Project Center (NPCS) akceptuje zserializowane dane .NET przez punkt końcowy '/ProjectCenter.rem' na porcie 9003/tcp, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wykonanie dowolnego kodu z uprawnieniami 'NT AUTHORITY\NetworkService'.

CVE-2025-10284
Critical

Moduł dekompresji BBOT może być nadużyty poprzez dostarczenie złośliwych plików archiwów, które po rozpakowaniu mogą wykonać dowolne zapisywanie plików, co prowadzi do zdalnego wykonania kodu.

CVE-2025-10283
Critical

Moduł gitdumper w BBOT może być nadużyty do wykonywania poleceń za pośrednictwem złośliwego repozytorium git.

CVE-2025-56683
Critical

W komponentach /app/marketplace.html w Logseq v0.10.9 występuje podatność na atak typu cross-site scripting (XSS), która pozwala atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie złośliwego JavaScriptu do spreparowanego pliku README.md.

CVE-2025-11539
Critical

Grafana Image Renderer jest podatny na zdalne wykonanie kodu z powodu luki w zapisie plików. Luka ta wynika z braku walidacji parametru filePath w punkcie końcowym /render/csv, co pozwala atakującemu na zapisanie obiektu współdzielonego w dowolnej lokalizacji, która jest następnie ładowana przez proces Chromium.

CVE-2025-11522
Critical

Motyw Search & Go - Directory dla WordPressa jest podatny na obejście uwierzytelnienia poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.7. Problem wynika z niewystarczającej walidacji użytkowników w funkcji search_and_go_elated_check_facebook_user().

CVE-2025-7634
Critical

Wtyczka WP Travel Engine – Tour Booking Plugin – Tour Operator Software dla WordPress jest podatna na Local File Inclusion we wszystkich wersjach do 6.6.7 włącznie, poprzez parametr mode. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2025-7526
Critical

Wtyczka WP Travel Engine – Tour Booking Plugin – Tour Operator Software dla WordPressa jest podatna na nieautoryzowane usuwanie plików (poprzez zmianę nazwy) z powodu niewystarczającej walidacji ścieżek plików w funkcji set_user_profile_image we wszystkich wersjach do 6.6.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-10586
Critical

Wtyczka Community Events dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'event_venue' we wszystkich wersjach do i włącznie z 1.5.1. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2025-10587
Critical

Wtyczka Community Events dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr event_category we wszystkich wersjach do i włącznie z 1.5.1. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2025-11423
Critical

W Tenda CH22 w wersji 1.0.0.1 odkryto podatność, która dotyczy funkcji formSafeEmailFilter w pliku /goform/SafeEmailFilter. Manipulacja argumentem page prowadzi do uszkodzenia pamięci, co może być zrealizowane zdalnie.

CVE-2025-3450
Critical

W podatności CVE-2025-3450 występuje niewłaściwe blokowanie zasobów w komponencie SDM oprogramowania B&R Automation Runtime w wersjach przed 6.3 oraz przed Q4.93. Może to umożliwić nieautoryzowanemu atakującemu z sieci usunięcie danych, co prowadzi do warunków odmowy usługi.

CVE-2025-52021
Critical

W systemie zakupów online PuneethReddyHC w wersji 1.0 występuje podatność na wstrzyknięcie SQL w pliku edit_product.php. Parametr GET product_id jest niebezpiecznie przekazywany do zapytania SQL bez odpowiedniej walidacji lub parametryzacji.

CVE-2025-0603
Critical

W podatności CVE-2025-0603 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co pozwala na ataki typu SQL Injection oraz Blind SQL Injection w systemie Callvision Healthcare Callvision Emergency Code przed wersją 3.0.

CVE-2025-57515
Critical

W systemie Uniclare Student Portal v2 zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL przez podatne pola wejściowe, co pozwala na wykonanie funkcji opóźnienia czasowego w celu wnioskowania o odpowiedziach bazy danych.

CVE-2025-60965
CriticalEPSS 69%

An OS Command Injection vulnerability has been discovered in the EndRun Technologies Sonoma D12 Network Time Server (GPS) running firmware F/W 6010-0071-000 Ver 4.00. Attackers can exploit this to execute arbitrary code, cause denial of service, escalate privileges, obtain sensitive information, and possibly cause other unspecified impacts.

CVE-2025-60964
CriticalEPSS 69%

An OS Command Injection vulnerability has been discovered in the EndRun Technologies Sonoma D12 Network Time Server (GPS) running firmware F/W 6010-0071-000 Ver 4.00. Attackers can execute arbitrary code, cause denial of service, escalate privileges, obtain sensitive information, and possibly cause other unspecified impacts.

CVE-2025-60957
CriticalEPSS 68%

An OS Command Injection vulnerability in EndRun Technologies Sonoma D12 Network Time Server (GPS) with firmware F/W 6010-0071-000 Ver 4.00 allows attackers to execute arbitrary code, cause a denial of service, escalate privileges, and obtain sensitive information.

CVE-2025-57247
Critical

Kontrakt inteligentny BATBToken zawiera nieprawidłową implementację kontroli dostępu w funkcjach zarządzania białą listą. Funkcje setColdWhiteList() i setSpecialAddress() są zadeklarowane jako publiczne, co pozwala każdemu użytkownikowi na obejście ograniczeń transferowych i manipulację ustawieniami specjalnych adresów.

CVE-2025-59159
Critical

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.13.4 interfejs webowy SillyTavern jest podatny na ataki DNS rebinding, co pozwala atakującym na instalację złośliwych rozszerzeń, odczyt czatów oraz wstrzykiwanie dowolnego HTML w celu przeprowadzania ataków phishingowych.

PreviousPage 213 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS