CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2024-44373
Critical

W AllSky w wersjach od 2023.05.01 do 2024.12.06_06 występuje podatność typu Path Traversal, która pozwala nieautoryzowanemu atakującemu na stworzenie webshella oraz zdalne wykonanie kodu poprzez parametr path w pliku /includes/save_file.php.

CVE-2025-55294
Critical

Podatność w screenshot-desktop umożliwia wykonanie zrzutu ekranu lokalnej maszyny, jednak występuje problem z wstrzykiwaniem poleceń. Wprowadzone przez użytkownika dane w opcji formatu funkcji zrzutu ekranu są interpolowane do polecenia powłoki bez odpowiedniego oczyszczenia, co prowadzi do wykonania dowolnych poleceń z uprawnieniami procesu wywołującego.

CVE-2025-54336
Critical

W Plesk Obsidian 18.0.70 funkcja _isAdminPasswordValid używa porównania ==. W związku z tym, jeśli poprawne hasło to '0e' zakończone dowolnym ciągiem cyfr, atakujący może zalogować się przy użyciu innego ciągu, który ocenia się jako 0.0 (np. ciąg 0e0). Problem ten występuje w pliku admin/plib/LoginManager.php.

CVE-2025-50567
Critical

Saurus CMS Community Edition 4.7.1 contains a vulnerability in the custom DB::prepare() function, which uses preg_replace() with the deprecated /e (eval) modifier to interpolate SQL query parameters. This leads to injection of user-controlled SQL statements, potentially leading to arbitrary PHP code execution.

CVE-2025-8723
Critical

Wtyczka Cloudflare Image Resizing dla WordPressa jest podatna na zdalne wykonanie kodu z powodu braku uwierzytelnienia oraz niewystarczającego oczyszczania w metodzie hook_rest_pre_dispatch(). Dotyczy to wszystkich wersji do i włącznie z 1.5.6.

CVE-2025-6758
Critical

Motyw Real Spaces - WordPress Properties Directory Theme dla WordPress jest podatny na eskalację uprawnień poprzez funkcję 'imic_agent_register' we wszystkich wersjach do 3.6 włącznie. Problem wynika z braku ograniczeń w roli rejestracji użytkownika.

CVE-2025-55299
Critical

VaulTLS to nowoczesne rozwiązanie do zarządzania certyfikatami mTLS (wzajemne TLS). W wersjach przed 0.9.1, konta użytkowników utworzone przez interfejs webowy miały ustawione puste, ale nie NULL hasło, co pozwalało atakującym na logowanie się bez hasła.

CVE-2025-55205
Critical

Podatność w Capsule v0.10.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na injectowanie dowolnych etykiet do systemowych przestrzeni nazw (kube-system, default, capsule-system), co narusza izolację wielo-tenantową. To umożliwia eskalację uprawnień i łamie podstawowe granice bezpieczeństwa, które Capsule ma na celu egzekwować.

CVE-2025-31715
Critical

W usłudze vowifi występuje możliwa podatność na wstrzykiwanie poleceń z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do zdalnego eskalowania uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2025-8898
Critical

Wtyczka Taxi Booking Manager dla Woocommerce | E-cab w WordPressie jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.3.0. Problem wynika z braku odpowiedniej walidacji uprawnień użytkownika przed aktualizacją ustawień wtyczki lub danych osobowych, takich jak adres e-mail.

CVE-2025-7441
Critical

Wtyczka StoryChief dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.0.42 włącznie. Podatność ta występuje przez punkt końcowy REST-API /wp-json/storychief/webhook, który nie ma wystarczającej walidacji typów plików.

CVE-2025-9060
Critical

W aplikacji MSoft MFlash odkryto podatność, która umożliwia wykonanie dowolnego kodu na serwerze. Problem występuje w funkcjonalności konfiguracji integracji dostępnej tylko dla administratorów MFlash.

CVE-2025-7778
Critical

Wtyczka Icons Factory dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej autoryzacji oraz nieprawidłowej walidacji ścieżek w funkcji delete_files() we wszystkich wersjach do i włącznie z 1.6.12. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-6679
Critical

Wtyczka Bit Form builder dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku we wszystkich wersjach do 2.20.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-50518
Critical

W bibliotece libcoap występuje podatność typu use-after-free w funkcji coap_delete_pdu_lkd, która wynika z niewłaściwego zarządzania pamięcią po zwolnieniu obiektu PDU. Może to prowadzić do uszkodzenia pamięci lub wykonania dowolnego kodu.

CVE-2025-43983
Critical

Urządzenia KuWFi CPF908-CP5 WEB5.0_LCD_20210125 mają wiele podatności związanych z brakiem kontroli dostępu, które pozwalają na nieautoryzowany dostęp do funkcji goform/goform_set_cmd_process oraz goform/goform_get_cmd_process. Atakujący może uzyskać wrażliwe informacje, takie jak nazwa użytkownika i hasło administratora, zmieniać krytyczne ustawienia urządzenia oraz wysyłać dowolne wiadomości SMS.

CVE-2025-27845
Critical

W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.

CVE-2025-43984
Critical

Na urządzeniach KuWFi GC111 (Wersja sprzętowa: CPE-LM321_V3.2, Wersja oprogramowania: GC111-GL-LM321_V3.0_20191211) odkryto problem związany z niezautoryzowanymi żądaniami /goform/goform_set_cmd_process. Złośliwe żądanie POST, wykorzystujące parametr SSID, pozwala zdalnym atakującym na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2025-54707
Critical

W podatności CVE-2025-54707 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce RealMag777 MDTF wp-meta-data-filter-and-taxonomy-filter. Problem dotyczy wersji MDTF od n/a do 1.3.3.7 włącznie.

CVE-2025-54693
Critical

Podatność CVE-2025-54693 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzu epiphyt Form Block, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Form Block od n/a do 1.5.5 włącznie.

PreviousPage 232 of 568Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS