CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-9485
Critical

Wtyczka OAuth Single Sign On – SSO (OAuth Client) dla WordPressa jest podatna na niewłaściwą weryfikację podpisu kryptograficznego w wersjach do 6.26.12 włącznie. Problem wynika z niebezpiecznego przetwarzania tokenów JWT bez weryfikacji w funkcji `get_resource_owner_from_id_token`.

CVE-2025-49844
Critical

Redis to otwartoźródłowa baza danych w pamięci, która zapisuje dane na dysku. Wersje 8.2.1 i wcześniejsze pozwalają uwierzytelnionemu użytkownikowi na wykorzystanie specjalnie przygotowanego skryptu Lua do manipulacji zbieraczem śmieci, co może prowadzić do wykorzystania podatności use-after-free i potencjalnie do zdalnego wykonania kodu.

CVE-2025-9286
Critical

Wtyczka Appy Pie Connect dla WooCommerce w WordPressie jest podatna na eskalację uprawnień z powodu braku autoryzacji w funkcji reset_user_password() w interfejsie REST we wszystkich wersjach do i włącznie z 1.1.2. Umożliwia to nieautoryzowanym atakującym zresetowanie hasła dowolnych użytkowników, w tym administratorów.

CVE-2025-9209
Critical

Wtyczka RestroPress – Online Food Ordering System dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 3.0.0 do 3.1.9.2. Problem wynika z ujawniania prywatnych tokenów użytkowników oraz danych API przez punkt końcowy REST API /wp-json/wp/v2/users.

CVE-2025-7721
Critical

Wtyczka JoomSport – dla sportów: drużyny i ligi, piłka nożna, hokej i inne dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 5.7.3 włącznie, poprzez parametr task. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2025-10726
Critical

Wtyczka WPRecovery dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'data[id]' we wszystkich wersjach do 2.0 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2025-10547
Critical

W routerach Vigor działających na systemie DrayOS występuje niezainicjowana zmienna w przetwarzaniu argumentów żądania HTTP CGI, co może umożliwić atakującemu zdalne wykonanie kodu (RCE) poprzez uszkodzenie pamięci.

CVE-2025-6388
Critical

Wtyczka Spirit Framework dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.2.14. Problem wynika z funkcji custom_actions(), która nieprawidłowo weryfikuje tożsamość użytkownika przed zalogowaniem go na stronie.

CVE-2025-9697
Critical

Wtyczka Ajax WooSearch dla WordPressa w wersji do 1.0.0 nieprawidłowo sanitizuje i nie ucieka parametru przed użyciem go w zapytaniu SQL za pośrednictwem akcji AJAX dostępnej dla nieautoryzowanych użytkowników, co prowadzi do podatności na atak SQL injection.

CVE-2020-36852
Critical

Wtyczka Custom Searchable Data Entry System dla WordPressa jest podatna na nieautoryzowane usuwanie danych z bazy w wersjach do 1.7.1 włącznie, z powodu braku sprawdzenia uprawnień oraz niewystarczającej walidacji w funkcji ghazale_sds_delete_entries_table_row(). Umożliwia to nieautoryzowanym atakującym całkowite usunięcie tabel w bazie danych, takich jak wp_users.

CVE-2025-10659
Critical

Aplikacja internetowa Telenium Online jest podatna na ataki z powodu punktu końcowego PHP, który jest dostępny dla nieautoryzowanych użytkowników sieci i niewłaściwie obsługuje dane wejściowe dostarczane przez użytkowników. Podatność ta wynika z niebezpiecznego zakończenia sprawdzenia wyrażenia regularnego w tym punkcie końcowym.

CVE-2025-56513
Critical

NiceHash QuickMiner version 6.12.0 performs software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update URL can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution.

CVE-2025-10725
Critical

W Red Hat Openshift AI Service odkryto lukę, która pozwala atakującemu z niskimi uprawnieniami, posiadającemu dostęp do uwierzytelnionego konta, na eskalację uprawnień do pełnego administratora klastra. To umożliwia całkowite naruszenie poufności, integralności i dostępności klastra.

CVE-2025-7493
Critical

W FreeIPA odkryto lukę umożliwiającą eskalację uprawnień z hosta do administratora domeny. Problem polega na braku walidacji unikalności krbCanonicalName, co pozwala na wykorzystanie root@REALM jako nazwy administratora realm.

CVE-2025-9762
Critical

Wtyczka Post By Email dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_attachments we wszystkich wersjach do 1.0.4b włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-8625
Critical

Wtyczka Copypress Rest API dla WordPressa jest podatna na zdalne wykonanie kodu poprzez funkcję copyreap_handle_image() w wersjach od 1.1 do 1.2. Wtyczka używa wbudowanego klucza do podpisywania JWT, gdy nie zdefiniowano sekretu, oraz nie ogranicza typów plików, które mogą być pobierane i zapisywane jako załączniki.

CVE-2025-11148
Critical

Wszystkie wersje pakietu check-branches są podatne na atak typu Command Injection. Narzędzie to, używane lokalnie lub w CI, służy do potwierdzania braku konfliktów w gałęziach git, jednak z powodu zaufania do nazw gałęzi i łączenia ich z wejściem użytkownika, może być narażone na nadużycia.

CVE-2024-58040
Critical

Crypt::RandomEncryption dla Perla w wersji 0.01 wykorzystuje niebezpieczną funkcję rand() podczas szyfrowania, co może prowadzić do osłabienia bezpieczeństwa danych. Użycie tej funkcji może skutkować przewidywalnymi kluczami szyfrującymi.

CVE-2025-57266
Critical

W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.

CVE-2024-13150
Critical

W podatności CVE-2024-13150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie fayton.Pro ERP. Problem ten dotyczy wersji oprogramowania do 29 września 2025 roku.

PreviousPage 214 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS