CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-7778
Critical

Wtyczka Icons Factory dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej autoryzacji oraz nieprawidłowej walidacji ścieżek w funkcji delete_files() we wszystkich wersjach do i włącznie z 1.6.12. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-6679
Critical

Wtyczka Bit Form builder dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku we wszystkich wersjach do 2.20.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-50518
Critical

W bibliotece libcoap występuje podatność typu use-after-free w funkcji coap_delete_pdu_lkd, która wynika z niewłaściwego zarządzania pamięcią po zwolnieniu obiektu PDU. Może to prowadzić do uszkodzenia pamięci lub wykonania dowolnego kodu.

CVE-2025-43983
Critical

Urządzenia KuWFi CPF908-CP5 WEB5.0_LCD_20210125 mają wiele podatności związanych z brakiem kontroli dostępu, które pozwalają na nieautoryzowany dostęp do funkcji goform/goform_set_cmd_process oraz goform/goform_get_cmd_process. Atakujący może uzyskać wrażliwe informacje, takie jak nazwa użytkownika i hasło administratora, zmieniać krytyczne ustawienia urządzenia oraz wysyłać dowolne wiadomości SMS.

CVE-2025-27845
Critical

W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.

CVE-2025-43984
Critical

Na urządzeniach KuWFi GC111 (Wersja sprzętowa: CPE-LM321_V3.2, Wersja oprogramowania: GC111-GL-LM321_V3.0_20191211) odkryto problem związany z niezautoryzowanymi żądaniami /goform/goform_set_cmd_process. Złośliwe żądanie POST, wykorzystujące parametr SSID, pozwala zdalnym atakującym na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2025-54707
Critical

W podatności CVE-2025-54707 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce RealMag777 MDTF wp-meta-data-filter-and-taxonomy-filter. Problem dotyczy wersji MDTF od n/a do 1.3.3.7 włącznie.

CVE-2025-54693
Critical

Podatność CVE-2025-54693 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzu epiphyt Form Block, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Form Block od n/a do 1.5.5 włącznie.

CVE-2025-54686
Critical

Podatność CVE-2025-54686 dotyczy deserializacji niezaufanych danych w bibliotece scriptsbundle Exertio, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Exertio od n/a do 1.3.2 włącznie.

CVE-2025-54678
Critical

Podatność CVE-2025-54678 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w Easy Form Builder w wersjach od n/a do 3.8.15.

CVE-2025-54669
Critical

W podatności CVE-2025-54669 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji MapSVG. Problem dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

CVE-2025-52720
Critical

W podatności CVE-2025-52720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem dotyczy wersji od n/a do 7.5 włącznie.

CVE-2025-49887
Critical

W podatności CVE-2025-49887 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w WPFactory Product XML Feed Manager dla WooCommerce. Problem dotyczy wersji od n/a do 2.9.3 włącznie.

CVE-2025-49059
Critical

W podatności CVE-2025-49059 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji od n/a do 1.5.20 włącznie.

CVE-2025-48293
Critical

Podatność CVE-2025-48293 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem ten dotyczy wersji Geo Mashup od n/a do 1.13.16 włącznie.

CVE-2025-25174
Critical

W podatności CVE-2025-25174 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku. Problem dotyczy rozszerzeń BeeTeam368 w wersjach od n/a do 1.9.4.

CVE-2025-24775
Critical

Podatność CVE-2025-24775 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Made I.T. Forms, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Forms od n/a do 2.9.0 włącznie.

CVE-2025-8047
Critical

Wtyczki WordPress 'disable-right-click-powered-by-pixterme' w wersji 1.2 oraz 'pixter-image-digital-license' w wersji 1.0 ładują skompromitowany plik JavaScript z porzuconego zasobnika S3. Plik ten może być użyty jako tylne drzwi przez osoby, które go kontrolują.

CVE-2025-55346
Critical

Podatność CVE-2025-55346 pozwala na wykorzystanie kontrolowanego przez użytkownika wejścia do niebezpiecznej implementacji dynamicznego konstruktora funkcji. Umożliwia to atakującym sieciowym uruchomienie dowolnego kodu JavaScript bez piaskownicy w kontekście hosta, poprzez wysłanie prostego żądania POST.

CVE-2012-10060
Critical

Sysax Multi Server versions prior to 5.55 contain a stack-based buffer overflow in its SSH service. A remote attacker can supply an overly long username during authentication, leading to remote code execution.

PreviousPage 225 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS