CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-11126
Critical

W Apeman ID71 odkryto lukę bezpieczeństwa, która dotyczy nieznanego kodu w pliku /system/www/system.ini. W wyniku manipulacji w tym pliku mogą zostać ujawnione twardo zakodowane dane uwierzytelniające.

CVE-2025-59936
Critical

W wersjach wcześniejszych niż 11.0.2, w get-jwks występuje podatność, która może prowadzić do zanieczyszczenia pamięci podręcznej w mechanizmie pobierania kluczy JWKS. Problem polega na tym, że walidacja roszczenia iss (issuer) odbywa się dopiero po pobraniu kluczy z pamięci podręcznej, co pozwala na ponowne wykorzystanie kluczy z nieoczekiwanego źródła.

CVE-2025-59934
Critical

Formbricks, alternatywa dla Qualtrics, przed wersją 4.0.1 nie weryfikował podpisów JWT. W wyniku tego, mechanizm walidacji tokenów jedynie dekodował JWT, co umożliwiało atakującym tworzenie fałszywych tokenów do logowania i resetowania haseł.

CVE-2025-58384
Critical

W DOXENSE WATCHDOC przed wersją 6.1.1.5332 występuje podatność na deserializację niezaufanych danych, co może prowadzić do zdalnego wykonania kodu poprzez bibliotekę .NET Remoting w interfejsie administracyjnym Watchdoc.

CVE-2025-60219
Critical

Podatność CVE-2025-60219 w HaruTheme WooCommerce Designer Pro umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WooCommerce Designer Pro od n/a do 1.9.24.

CVE-2025-60156
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce webandprint AR For WordPress umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji AR For WordPress od n/a do 8.34 włącznie.

CVE-2025-20363
Critical

Podatność w usługach internetowych oprogramowania Cisco Secure Firewall ASA, FTD, IOS, IOS XE oraz IOS XR może umożliwić zdalnemu atakującemu, który nie jest uwierzytelniony (w przypadku ASA i FTD) lub uwierzytelnionemu atakującemu z niskimi uprawnieniami (w przypadku IOS, IOS XE i IOS XR), wykonanie dowolnego kodu na podatnym urządzeniu. Problem wynika z niewłaściwej walidacji danych wejściowych dostarczonych przez użytkownika w żądaniach HTTP.

CVE-2025-59823
Critical

Projekt Gardener umożliwia automatyczne zarządzanie i obsługę klastrów Kubernetes jako usługi. W wersjach wcześniejszych niż 1.64.0 dla dostawców AWS, 1.55.0 dla Azure, 1.49.0 dla OpenStack oraz 1.46.0 dla GCP może wystąpić możliwość wstrzyknięcia kodu w rozszerzeniach Gardenera.

CVE-2025-10542
Critical

iMonitor EAM w wersji 9.6394 dostarczany jest z domyślnymi danymi logowania dla administratora, które są również wyświetlane w oknie połączenia klienta zarządzającego. Jeśli administrator nie zmieni tych domyślnych danych, zdalny atakujący może uwierzytelnić się na serwerze EAM i uzyskać pełną kontrolę nad monitorowanymi agentami oraz danymi.

CVE-2020-36851
Critical

Cors-anywhere instances configured as open proxies allow unauthenticated external users to induce the server to make HTTP requests to arbitrary targets (SSRF). Attackers can access internal endpoints and metadata services, leading to credential theft and unauthorized access to internal services.

CVE-2025-10894
Critical

Do pakietu Nx (systemu budowania) oraz kilku powiązanych wtyczek wprowadzono złośliwy kod. Zmodyfikowany pakiet został opublikowany w rejestrze oprogramowania npm w wyniku ataku na łańcuch dostaw.

CVE-2025-9054
Critical

Wtyczka MultiLoca - WooCommerce Multi Locations Inventory Management dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień. Problem wynika z braku sprawdzenia uprawnień w funkcji 'wcmlim_settings_ajax_handler' we wszystkich wersjach do 4.2.8 włącznie.

CVE-2025-41715
Critical

Baza danych aplikacji webowej jest wystawiona bez uwierzytelnienia, co pozwala nieautoryzowanemu zdalnemu atakującemu uzyskać dostęp i potencjalnie ją skompromitować.

CVE-2025-4993
Critical

Podatność typu dereferencja wskaźnika niezaufanego w RTI Connext Professional (biblioteki podstawowe) umożliwia manipulację wskaźnikami. Problem dotyczy wersji Connext Professional od 7.4.0 do przed 7.6.0, od 7.0.0 do przed 7.3.0.10, od 6.1.0 do przed 6.1.2.27, od 6.0.0 do przed 6.0.1.43, od 5.3.0 do przed 5.3.*, oraz od 4.4a do przed 5.2.*.

CVE-2025-9846
Critical

Podatność CVE-2025-9846 dotyczy systemu Inka.Net, który przed wersją 6.7.1 pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wstrzyknięcia poleceń.

CVE-2025-10412
Critical

Wtyczka Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu błędnej walidacji typów plików w funkcji 'uni_cpo_upload_file' w wersjach do 4.9.55 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-10147
Critical

Wtyczka Podlove Podcast Publisher dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'move_as_original_file' we wszystkich wersjach do 4.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-9588
Critical

W podatności CVE-2025-9588 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wstrzyknięcia poleceń w usłudze archiwizacji EnVision firmy Iron Mountain. Problem ten dotyczy wersji EnVision przed 250563.

CVE-2025-9321
Critical

Wtyczka WPCasa dla WordPressa jest podatna na wstrzykiwanie kodu we wszystkich wersjach do i włącznie z 1.4.1. Problem wynika z niewystarczającej walidacji danych wejściowych oraz ograniczeń w funkcji 'api_requests'.

CVE-2025-26399
Critical

SolarWinds Web Help Desk jest podatny na nieautoryzowaną deserializację AjaxProxy, co może prowadzić do zdalnego wykonania kodu. W przypadku wykorzystania tej podatności, atakujący może uruchomić polecenia na maszynie gospodarza. Jest to obejście poprawek dla CVE-2024-28988, które z kolei jest obejściem dla CVE-2024-28986.

PreviousPage 215 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS