CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-49330
Critical

Podatność CVE-2025-49330 dotyczy deserializacji niezaufanych danych w integracji CRM Perks dla Contact Form 7 i Zoho CRM, Bigin, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji integracji od n/a do 1.3.0 włącznie.

CVE-2025-49071
Critical

Podatność CVE-2025-49071 w motywie NasaTheme Flozen umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Flozen od n/a do poniżej 1.5.1.

CVE-2025-48274
Critical

Podatność CVE-2025-48274 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Job Portal w wersjach od n/a do 2.3.2.

CVE-2025-47573
Critical

W podatności CVE-2025-47573 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie zarządzania szkołą mojoomla. Problem dotyczy wersji od n/a do 92.0.0.

CVE-2025-47559
Critical

Podatność CVE-2025-47559 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

CVE-2025-47452
Critical

Podatność CVE-2025-47452 w wtyczce WP VR pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP VR od n/a do 8.5.26.

CVE-2025-39479
Critical

Podatność CVE-2025-39479 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Smart Notification. Problem ten dotyczy wersji Smart Notification od n/a do 10.3.

CVE-2025-32510
Critical

Podatność CVE-2025-32510 dotyczy Ovatheme Events Manager, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Wersje od n/a do 1.8.4 są narażone na wykorzystanie złośliwych plików.

CVE-2025-31919
Critical

Podatność na deserializację nieufnych danych w themeton Spare umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Spare od n/a do 1.7.

CVE-2025-30618
Critical

Podatność CVE-2025-30618 dotyczy deserializacji niezaufanych danych w rozszerzeniu Rapyd Payment dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji rozszerzenia od n/a do 1.2.0 włącznie.

CVE-2025-24773
Critical

W podatności CVE-2025-24773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce mojoomla WPCRM dla formularza kontaktowego CF7 oraz WooCommerce. Problem dotyczy wersji WPCRM od n/a do 3.2.0 włącznie.

CVE-2025-4404
CriticalEPSS 76%

A privilege escalation from host to domain vulnerability was found in FreeIPA. The lack of uniqueness validation for the `krbCanonicalName` attribute of the admin account allows creating a service with the same canonical name as the REALM admin. A successful attack lets the attacker obtain a Kerberos ticket with admin@REALM credentials.

CVE-2025-49796
CriticalEPSS 70%

A vulnerability was found in libxml2 where processing certain sch:name elements from an input XML file can trigger memory corruption. An attacker can craft a malicious XML file causing libxml to crash, leading to denial of service or other undefined behavior due to sensitive data being corrupted in memory.

CVE-2025-49794
Critical

A use-after-free vulnerability was found in libxml2 when parsing XPath elements under certain circumstances with XML schematron containing <sch:name path="..."/> elements. This flaw allows a malicious actor to craft a malicious XML document that, when processed by libxml, can cause a program crash or other undefined behaviors.

CVE-2025-40916
Critical

Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.

CVE-2025-6172
Critical

W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.

CVE-2025-6169
Critical

Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-6065
Critical

Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-46060
CriticalEPSS 53%

A buffer overflow vulnerability was found in the TOTOLINK N600R router firmware version 4.3.0cu.7866_B2022506. A remote attacker can exploit the UPLOAD_FILENAME component to execute arbitrary code.

CVE-2025-29902
Critical

Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.

PreviousPage 249 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS