CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-7340
Critical

Wtyczka HT Contact Form Widget dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji temp_file_upload(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.

CVE-2025-5394
Critical

Motyw Alone – Charity Multipurpose Non-profit dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w funkcji alone_import_pack_install_plugin() w wersjach do 7.8.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshells, podszywających się pod wtyczki, co prowadzi do zdalnego wykonania kodu.

CVE-2025-5393
Critical

Motyw Alone – Charity Multipurpose Non-profit dla WordPressa jest podatny na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() w wersjach do 7.8.5 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-53890
Critical

pyload to menedżer pobierania napisany w czystym Pythonie, który zawiera podatność na niebezpieczną ewaluację JavaScript w kodzie przetwarzania CAPTCHA. Umożliwia to nieautoryzowanym zdalnym atakującym wykonanie dowolnego kodu w przeglądarce klienta oraz potencjalnie na serwerze backendowym.

CVE-2025-53833
Critical

LaRecipe to aplikacja umożliwiająca użytkownikom tworzenie dokumentacji z użyciem Markdown w aplikacji Laravel. Wersje przed 2.8.1 są podatne na atak typu Server-Side Template Injection (SSTI), co może prowadzić do zdalnego wykonania kodu (RCE) w podatnych konfiguracjach.

CVE-2025-7574
Critical

Wykryto krytyczną podatność w urządzeniach LB-LINK BL-AC1900, BL-AC2100_AZ3, BL-AC3600, BL-AX1800, BL-AX5400P oraz BL-WR9000 do daty 20250702. Problem dotyczy funkcji reboot/restore w pliku /cgi-bin/lighttpd.cgi interfejsu webowego, co prowadzi do niewłaściwej autoryzacji.

CVE-2025-7451
Critical

iSherlock opracowany przez Hgiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze. Ta podatność została już wykorzystana.

CVE-2020-36849
Critical

Wtyczka AIT CSV import/export dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php w wersjach do 3.0.3 włącznie. To umożliwia atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-5392
Critical

Wtyczka GB Forms DB dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 1.0.2 włącznie, poprzez funkcję gbfdb_talk_to_front(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func().

CVE-2025-7401
Critical

Wtyczka Premium Age Verification / Restriction dla WordPressa jest podatna na nieautoryzowany odczyt i zapis plików z powodu niewystarczająco zabezpieczonej funkcjonalności wsparcia zdalnego w pliku remote_tunnel.php we wszystkich wersjach do 3.0.2 włącznie. Umożliwia to nieautoryzowanym atakującym odczyt lub zapis do dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-52579
Critical

Produkty Emerson ValveLink przechowują wrażliwe informacje w postaci niezaszyfrowanej w pamięci. Wrażliwe dane mogą być zapisane na dysku, przechowywane w zrzucie pamięci lub pozostać nieusunięte w przypadku awarii produktu lub jeśli programista nie wyczyści pamięci przed jej zwolnieniem.

CVE-2025-2523
Critical

W systemach Honeywell Experion PKS i OneWireless WDM występuje podatność typu Integer Underflow w komponencie Control Data Access (CDA). Atakujący może wykorzystać tę podatność do manipulacji kanałem komunikacyjnym, co może prowadzić do wykonania zdalnego kodu.

CVE-2025-53371
Critical

DiscordNotifications to rozszerzenie dla MediaWiki, które wysyła powiadomienia o działaniach w Wiki do kanału Discord. Umożliwia ono wysyłanie żądań do dowolnych adresów URL, co może prowadzić do ataków typu DoS oraz SSRF, a w konsekwencji do zdalnego wykonania kodu (RCE).

CVE-2025-53624
Critical

Wtyczka gists dla Docusaurus dodaje stronę do instancji Docusaurus, wyświetlającą publiczne gisty użytkownika GitHub. Wersje docusaurus-plugin-content-gists przed 4.0.0 są podatne na ujawnienie osobistych tokenów dostępu GitHub w artefaktach budowy produkcyjnej, gdy są przekazywane przez opcje konfiguracyjne wtyczki.

CVE-2025-53546
Critical

Folo organizuje treści z kanałów w jedną oś czasu. Wykorzystanie pull_request_target w pliku .github/workflows/auto-fix-lint-format-commit.yml może być wykorzystane przez atakujących, ponieważ nieufny kod może być wykonany z pełnym dostępem do sekretów (z repozytorium bazowego).

CVE-2025-6514
Critical

mcp-remote jest podatny na wstrzykiwanie poleceń systemowych, gdy łączy się z nieufnymi serwerami MCP, z powodu spreparowanego wejścia z odpowiedzi URL authorization_endpoint.

CVE-2025-3499
Critical

Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086). Wykorzystując podatność na wstrzykiwanie poleceń systemu operacyjnego przez te interfejsy API, atakujący może wysyłać dowolne polecenia, które są wykonywane z uprawnieniami administratora przez system operacyjny.

CVE-2025-3498
Critical

Nieautoryzowany użytkownik z dostępem do sieci zarządzającej może uzyskać i modyfikować konfigurację Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20). Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086).

CVE-2025-4606
Critical

Motyw Sala - Startup & SaaS dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.1.4. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.

CVE-2025-27203
Critical

Wersje Adobe Connect 24.0 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu przez atakującego. Wykorzystanie tej luki wymaga interakcji użytkownika i zmienia zakres ataku.

PreviousPage 243 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS