CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-48100
Critical

Podatność CVE-2025-48100 dotyczy niewłaściwej kontroli generowania kodu w integratorze bidorbuy Store, co pozwala na zdalne włączenie kodu. Problem ten występuje w wersjach od n/a do 2.12.0 włącznie.

CVE-2025-39496
Critical

Podatność CVE-2025-39496 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WooBeWoo Product Filter Pro. Problem ten dotyczy wersji przed 2.9.6.

CVE-2025-54762
Critical

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja Media: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-53970
Critical

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja multimedialna: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-7955
Critical

Wtyczka RingCentral Communications dla WordPressa jest podatna na obejście uwierzytelniania z powodu niewłaściwej walidacji w funkcji ringcentral_admin_login_2fa_verify() w wersjach od 1.5 do 1.6.8. Umożliwia to nieautoryzowanym atakującym logowanie się jako dowolny użytkownik, wystarczy podać identyczne fałszywe kody.

CVE-2025-34523
Critical

A heap-based buffer overflow vulnerability exists in the network-facing input handling routines of Arcserve Unified Data Protection (UDP) that can be exploited by a remote attacker without authentication. By sending specially crafted data, an attacker can corrupt heap memory, potentially leading to denial of service or arbitrary code execution.

CVE-2025-34163
Critical

Dongsheng Logistics Software exposes an unauthenticated endpoint at /CommMng/Print/UploadMailFile that fails to enforce proper file type validation and access control. An attacker can upload arbitrary files, including executable scripts, allowing remote code execution on the server.

CVE-2025-34162
Critical

An unauthenticated SQL injection vulnerability exists in the GetLyfsByParams endpoint of Bian Que Feijiu Intelligent Emergency and Quality Control System. The issue arises from improper sanitization of user-supplied input in the strOpid parameter, allowing attackers to inject arbitrary SQL statements.

CVE-2025-41702
Critical

Klucz tajny JWT jest osadzony w backendzie egOS WebGUI i jest dostępny dla domyślnego użytkownika. Nieautoryzowany atakujący zdalny może generować ważne tokeny HS256 i omijać uwierzytelnianie oraz autoryzację z powodu użycia zakodowanego klucza kryptograficznego.

CVE-2025-53120
Critical

Podatność typu traversal w funkcjonalności przesyłania plików bez uwierzytelnienia pozwala złośliwemu użytkownikowi na przesyłanie binariów i skryptów do katalogów konfiguracyjnych oraz głównych katalogów serwera, co prowadzi do zdalnego wykonania kodu na serwerze Unified PAM.

CVE-2025-55575
Critical

W podatności CVE-2025-55575 występuje luka typu SQL Injection w SMM Panel w wersji 3.1, która umożliwia zdalnym atakującym uzyskanie wrażliwych informacji poprzez odpowiednio skonstruowane żądanie HTTP z parametrem action=service_detail.

CVE-2025-53118
Critical

Istnieje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu atakującemu na kontrolowanie funkcji kopii zapasowych administratora. Może to prowadzić do kompromitacji haseł, sekretów oraz tokenów sesji aplikacji przechowywanych przez Unified PAM.

CVE-2025-56214
Critical

System zarządzania szpitalem phpGurukul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr 'username' w pliku index.php.

CVE-2025-56212
Critical

System zarządzania szpitalem phpGuruKul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr docname w pliku add-doctor.php.

CVE-2025-5821
Critical

Wtyczka Case Theme User dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcję facebook_ajax_login_callback().

CVE-2025-7642
Critical

Wtyczka Simpler Checkout dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 0.7.0 do 1.1.9. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go jako administratora przez funkcję simplerwc_woocommerce_order_created().

CVE-2022-43110
Critical

Voltronic Power ViewPower w wersjach do 1.04-21353 oraz PowerShield Netguard przed 1.04-23292 pozwala zdalnemu atakującemu na konfigurację systemu poprzez nieokreślony interfejs webowy. Atakujący bez uwierzytelnienia może wprowadzać zmiany w systemie, w tym zmieniać hasło administratora interfejsu webowego oraz przeglądać i zmieniać konfigurację systemu.

CVE-2022-31491
Critical

Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.

CVE-2024-52786
Critical

W podatności CVE-2024-52786 w anji-plus AJ-Report do wersji 1.4.2 występuje luka umożliwiająca ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu za pomocą spreparowanego URL.

CVE-2024-50645
Critical

MallChat v1.0-SNAPSHOT posiada lukę w autoryzacji, która pozwala na ominięcie procesu uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

PreviousPage 221 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS