CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-52395
Critical

W API Roadcute w wersji 1 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Problem ten wynika z niewłaściwej walidacji tożsamości osoby żądającej w punkcie końcowym resetowania hasła.

CVE-2025-53251
Critical

Podatność CVE-2025-53251 wtyczki Pin WP pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Pin WP od n/a do poniżej 7.2.

CVE-2025-8895
Critical

Wtyczka WP Webhooks dla WordPressa jest podatna na kopiowanie dowolnych plików z powodu braku walidacji danych wejściowych dostarczanych przez użytkownika we wszystkich wersjach do 3.3.5 włącznie. Umożliwia to nieautoryzowanym atakującym kopiowanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-7390
Critical

Złośliwy klient może obejść sprawdzanie zaufania certyfikatu klienta na serwerze opc.https, gdy punkt końcowy serwera jest skonfigurowany do zezwalania tylko na bezpieczną komunikację.

CVE-2025-43300
Critical

Wykryto problem z zapisem poza dozwolonym zakresem, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w kilku wersjach systemów iOS, iPadOS oraz macOS. Przetwarzanie złośliwego pliku graficznego może prowadzić do uszkodzenia pamięci.

CVE-2025-27217
Critical

W aplikacji UISP występuje podatność typu Server-Side Request Forgery (SSRF), która może umożliwić złośliwemu użytkownikowi z odpowiednimi uprawnieniami wykonywanie żądań poza zakresem aplikacji UISP.

CVE-2025-27214
Critical

W UniFi Connect EV Station Pro występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która może umożliwić złośliwemu użytkownikowi z fizycznym lub sąsiednim dostępem przeprowadzenie nieautoryzowanego resetu fabrycznego.

CVE-2025-24285
Critical

W UniFi Connect EV Station Lite występują liczne podatności związane z niewłaściwą walidacją danych wejściowych, które mogą umożliwić atak typu Command Injection osobie złośliwej mającej dostęp do sieci UniFi Connect EV Station Lite.

CVE-2024-57155
Critical

Wersja radar v1.0.8 zawiera błędne zarządzanie dostępem, co pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.

CVE-2024-57154
Critical

W dts-shop w wersji 0.0.1-SNAPSHOT występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia poprzez wysłanie spreparowanego ładunku do /admin/auth/index.

CVE-2024-50640
Critical

W wersji 1.3 biblioteki jeewx-boot występuje podatność na obejście uwierzytelniania w funkcji preHandle. Ta luka może pozwolić atakującym na uzyskanie dostępu do chronionych zasobów bez odpowiednich uprawnień.

CVE-2024-57157
Critical

W Jantent w wersji 1.1 występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.

CVE-2025-54726
Critical

W podatności CVE-2025-54726 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce jquery-archive-list-widget. Problem dotyczy wersji JS Archive List od n/a do poniżej 6.1.6.

CVE-2025-54713
Critical

Podatność CVE-2025-54713 dotyczy menedżera rezerwacji taksówek dla WooCommerce, który pozwala na obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.3.0 włącznie.

CVE-2025-54677
Critical

Podatność CVE-2025-54677 dotyczy wtyczki vcita Online Booking & Scheduling Calendar dla WordPress, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.

CVE-2025-54049
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w miniOrange Custom API dla WP umożliwia eskalację uprawnień. Problem ten dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.

CVE-2025-54048
Critical

W podatności CVE-2025-54048 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w miniOrange Custom API dla WP. Problem dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.

CVE-2025-54014
Critical

Podatność CVE-2025-54014 dotyczy deserializacji niezaufanych danych w systemie MediCenter - Health Medical Clinic, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 15.1 włącznie.

CVE-2025-53580
Critical

W podatności CVE-2025-53580 występuje nieprawidłowe przypisanie uprawnień w aplikacji Simple Business Directory Pro, co umożliwia eskalację uprawnień. Problem dotyczy wersji Simple Business Directory Pro od n/a do poniżej 15.6.9.

CVE-2025-53577
Critical

W podatności CVE-2025-53577 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w systemie Global DNS w wersjach od n/a do 3.1.0. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na zainfekowanym systemie.

PreviousPage 230 of 568Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS