CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-48780
Critical

Podatność CVE-2025-48780 dotyczy deserializacji niezaufanych danych w funkcji pobierania plików w systemie zarządzania zasobami ludzkimi Soar Cloud HRD do wersji 7.3.2025.0408. Umożliwia zdalnym atakującym wykonywanie dowolnych poleceń systemowych za pomocą spreparowanego obiektu zserializowanego.

CVE-2025-3365
Critical

Brak ochrony przed atakami typu path traversal umożliwia dostęp do dowolnego pliku na serwerze.

CVE-2025-5486
Critical

Wtyczka WP Email Debug dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji WPMDBUG_handle_settings() w wersjach od 1.0 do 1.1.0. Umożliwia to nieautoryzowanym atakującym włączenie debugowania i wysyłanie wszystkich e-maili na kontrolowany przez atakującego adres, a następnie wywołanie resetu hasła dla konta administratora.

CVE-2025-44148
CriticalEPSS 99%

Cross Site Scripting (XSS) vulnerability in MailEnable before version 10 allows a remote attacker to execute arbitrary code via the failure.aspx component.

CVE-2025-4517
Critical

Podatność pozwala na dowolne zapisywanie plików w systemie plików poza katalogiem ekstrakcji podczas używania filtru 'data' w module tarfile. Dotyczy to sytuacji, gdy używasz funkcji TarFile.extractall() lub TarFile.extract() z parametrem filter ustawionym na 'data' lub 'tar'.

CVE-2025-4797
Critical

Motyw Golo - City Travel Guide dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.7.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem ciasteczka autoryzacyjnego.

CVE-2025-49113
Critical

Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.

CVE-2025-5408
Critical

Wykryto krytyczną podatność w urządzeniach WAVLINK QUANTUM D2G, QUANTUM D3G, WL-WN530G3A, WL-WN530HG3, WL-WN532A3 oraz WL-WN576K1 do wersji V1410_240222. Problem dotyczy funkcji sys_login w pliku /cgi-bin/login.cgi, gdzie manipulacja argumentem login_page prowadzi do przepełnienia bufora.

CVE-2025-4631
Critical

Wtyczka Profitori dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w punkcie końcowym stocktend_object w wersjach od 2.0.6.0 do 2.1.1.3. Umożliwia to nieautoryzowanym atakującym zapis dowolnych ciągów do pola meta wp_capabilities użytkownika, co może prowadzić do podniesienia uprawnień istniejącego konta użytkownika lub nowo utworzonego do poziomu administratora.

CVE-2025-4607
Critical

Wtyczka PSW Front-end Login & Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.12 włącznie, poprzez funkcję customer_registration(). Problem wynika z użycia słabego mechanizmu OTP o niskiej entropii w funkcji forget().

CVE-2025-48757
Critical

Polityka bezpieczeństwa na poziomie wiersza bazy danych w systemie Lovable do 2025-04-15 jest niewystarczająca, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt lub zapis do dowolnych tabel bazy danych generowanych witryn. Dostawca kwestionuje tę podatność, twierdząc, że każdy klient platformy Lovable ponosi odpowiedzialność za ochronę danych swojej aplikacji.

CVE-2025-44619
Critical

The Tinxy WiFi Lock Controller v1 RF was found configured to transmit on an open Wi-Fi network, allowing attackers to join the network without authentication.

CVE-2020-36846
Critical

W bibliotece Brotli występuje przepełnienie bufora, które może prowadzić do awarii aplikacji. Dotyczy to wersji IO::Compress::Brotli przed 0.007, gdzie atakujący może kontrolować długość wejścia w żądaniu dekompresji 'one-shot'.

CVE-2025-46352
Critical

Panel przeciwpożarowy CS5000 jest podatny na atak z powodu twardo zakodowanego hasła, które działa na serwerze VNC i jest widoczne jako ciąg w binarnym pliku odpowiedzialnym za uruchamianie VNC. To hasło nie może być zmienione, co umożliwia każdemu, kto je zna, zdalny dostęp do panelu.

CVE-2025-41438
Critical

Panel pożarowy CS5000 jest podatny z powodu domyślnego konta, które istnieje na panelu. Mimo że możliwe jest jego zmienienie poprzez SSH, pozostało ono niezmienione na wszystkich zainstalowanych systemach, które zaobserwowano.

CVE-2025-1907
Critical

Instantel Micromate nie wymaga uwierzytelnienia na porcie konfiguracyjnym, co może umożliwić atakującemu wykonanie poleceń po podłączeniu się do urządzenia.

CVE-2025-30466
Critical

Problem ten został rozwiązany poprzez poprawę zarządzania stanem. Podatność została naprawiona w Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 oraz visionOS 2.4. Istnieje możliwość, że strona internetowa może obejść politykę tej samej domeny.

CVE-2025-48336
Critical

Podatność CVE-2025-48336 dotyczy deserializacji niezaufanych danych w wtyczce ThimPress Course Builder, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Course Builder od n/a do poniżej 3.6.6.

CVE-2025-3755
Critical

Podatność w modułach CPU serii MELSEC iQ-F firmy Mitsubishi Electric polega na niewłaściwej walidacji określonego indeksu, pozycji lub przesunięcia w danych wejściowych. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu odczyt informacji z produktu oraz wywołanie stanu Denial-of-Service (DoS) w połączeniu MELSOFT lub zatrzymanie działania modułu CPU.

CVE-2025-45343
Critical

A vulnerability in Tenda W18E router version 2.0 with firmware 16.01.0.11 allows remote arbitrary code execution. The flaw resides in the account editing functionality within the goform/setmodules route.

PreviousPage 240 of 558Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS