CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-10183
Critical

W usłudze internetowej OpenMessaging w TecCom TecConnect 4.1 występuje podatność na ślepą iniekcję XML External Entity (XXE), która pozwala nieautoryzowanemu atakującemu na wykradanie dowolnych plików na serwer kontrolowany przez atakującego. TecConnect 4.1 uznawany jest za produkt, którego wsparcie zakończyło się w grudniu 2023 roku.

CVE-2025-9994
Critical

Interfejs administracyjny HTTP punktu dostępowego Bluetooth Amp’ed RF BT-AP 111 nie posiada funkcji uwierzytelniania, co umożliwia nieautoryzowany dostęp każdemu, kto ma dostęp do sieci.

CVE-2025-54236
Critical

Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, significantly impacting confidentiality and integrity.

CVE-2025-40804
Critical

Zidentyfikowano podatność w SIMATIC Virtualization as a Service (SIVaaS) we wszystkich wersjach. Aplikacja narażona jest na udostępnienie zasobu sieciowego bez jakiejkolwiek autoryzacji.

CVE-2025-40795
CriticalEPSS 59%

A vulnerability has been identified in SIMATIC PCS neo versions 4.1, 5.0, and 6.0 (all versions below V6.0 SP1 Update 1) and in the User Management Component (UMC) (all versions below V2.15.1.3). This vulnerability involves a stack-based buffer overflow in the integrated UMC component, which could allow an unauthenticated remote attacker to execute arbitrary code or cause a denial of service condition.

CVE-2025-10134
Critical

Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-42958
Critical

W aplikacji SAP NetWeaver na platformie IBM i-series występuje brak weryfikacji uwierzytelnienia, co pozwala nieautoryzowanym użytkownikom z wysokimi uprawnieniami na odczyt, modyfikację lub usunięcie wrażliwych informacji oraz dostęp do funkcji administracyjnych. To prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42944
Critical

W wyniku podatności na deserializację w SAP NetWeaver, nieautoryzowany atakujący mógłby wykorzystać system poprzez moduł RMI-P4, przesyłając złośliwy ładunek do otwartego portu. Deserializacja takich nieufnych obiektów Java może prowadzić do wykonania dowolnych poleceń systemowych.

CVE-2025-42922
Critical

SAP NetWeaver AS Java umożliwia atakującemu, który jest uwierzytelniony jako użytkownik niebędący administratorem, wykorzystanie luki w dostępnej usłudze do przesłania dowolnego pliku. Wykonanie tego pliku może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu.

CVE-2025-58746
Critical

Panel Business Links od Volkov Labs dla Grafana umożliwia nawigację za pomocą linków zewnętrznych, wewnętrznych pulpitów nawigacyjnych, selektorów czasu i menu rozwijanych. Przed wersją 2.4.0, złośliwy użytkownik z uprawnieniami Edytora mógł podnieść swoje uprawnienia do Administratora i wykonywać dowolne działania administracyjne dzięki możliwości wstrzykiwania dowolnego kodu JavaScript w polu [Layout] → [Link] → [URL].

CVE-2025-9114
Critical

Motyw Doccure dla WordPressa jest podatny na nieautoryzowaną zmianę hasła użytkownika w wersjach do 1.5.0 włącznie. Problem wynika z udostępnienia przez wtyczkę dostępu do obiektów kontrolowanego przez użytkownika, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-9113
Critical

Wtyczka Doccure Core dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'doccure_temp_upload_to_media' we wszystkich wersjach do i włącznie z 1.5.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-52161
Critical

A cross-site scripting (XSS) vulnerability was discovered in Scholl Communications AG Weblication CMS Core version v019.004.000.000. It allows injection of malicious JavaScript code into CMS-generated pages.

CVE-2025-22956
Critical

OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.

CVE-2025-8359
Critical

Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.9. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed jego uwierzytelnieniem.

CVE-2025-58628
Critical

W podatności CVE-2025-58628 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection. Problem dotyczy wersji Miraculous od n/a do poniżej 2.0.9.

CVE-2025-49401
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce smart SEO od axiomthemes umożliwia eskalację uprawnień. Problem dotyczy wersji smart SEO od n/a do 4.0 włącznie.

CVE-2025-58819
Critical

Podatność CVE-2025-58819 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-55037
Critical

W wersjach TkEasyGUI przed v1.0.22 występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na 'OS Command Injection'. W przypadku wykorzystania tej podatności, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe, jeśli ustawienia są skonfigurowane do tworzenia wiadomości z zewnętrznych źródeł.

CVE-2025-58361
Critical

Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.

PreviousPage 219 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS