CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-4797
Critical

Motyw Golo - City Travel Guide dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.7.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem ciasteczka autoryzacyjnego.

CVE-2025-49113
Critical

Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.

CVE-2025-5408
Critical

Wykryto krytyczną podatność w urządzeniach WAVLINK QUANTUM D2G, QUANTUM D3G, WL-WN530G3A, WL-WN530HG3, WL-WN532A3 oraz WL-WN576K1 do wersji V1410_240222. Problem dotyczy funkcji sys_login w pliku /cgi-bin/login.cgi, gdzie manipulacja argumentem login_page prowadzi do przepełnienia bufora.

CVE-2025-4631
Critical

Wtyczka Profitori dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w punkcie końcowym stocktend_object w wersjach od 2.0.6.0 do 2.1.1.3. Umożliwia to nieautoryzowanym atakującym zapis dowolnych ciągów do pola meta wp_capabilities użytkownika, co może prowadzić do podniesienia uprawnień istniejącego konta użytkownika lub nowo utworzonego do poziomu administratora.

CVE-2025-4607
Critical

Wtyczka PSW Front-end Login & Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.12 włącznie, poprzez funkcję customer_registration(). Problem wynika z użycia słabego mechanizmu OTP o niskiej entropii w funkcji forget().

CVE-2025-48757
Critical

Polityka bezpieczeństwa na poziomie wiersza bazy danych w systemie Lovable do 2025-04-15 jest niewystarczająca, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt lub zapis do dowolnych tabel bazy danych generowanych witryn. Dostawca kwestionuje tę podatność, twierdząc, że każdy klient platformy Lovable ponosi odpowiedzialność za ochronę danych swojej aplikacji.

CVE-2025-44619
Critical

The Tinxy WiFi Lock Controller v1 RF was found configured to transmit on an open Wi-Fi network, allowing attackers to join the network without authentication.

CVE-2020-36846
Critical

W bibliotece Brotli występuje przepełnienie bufora, które może prowadzić do awarii aplikacji. Dotyczy to wersji IO::Compress::Brotli przed 0.007, gdzie atakujący może kontrolować długość wejścia w żądaniu dekompresji 'one-shot'.

CVE-2025-46352
Critical

Panel przeciwpożarowy CS5000 jest podatny na atak z powodu twardo zakodowanego hasła, które działa na serwerze VNC i jest widoczne jako ciąg w binarnym pliku odpowiedzialnym za uruchamianie VNC. To hasło nie może być zmienione, co umożliwia każdemu, kto je zna, zdalny dostęp do panelu.

CVE-2025-41438
Critical

Panel pożarowy CS5000 jest podatny z powodu domyślnego konta, które istnieje na panelu. Mimo że możliwe jest jego zmienienie poprzez SSH, pozostało ono niezmienione na wszystkich zainstalowanych systemach, które zaobserwowano.

CVE-2025-1907
Critical

Instantel Micromate nie wymaga uwierzytelnienia na porcie konfiguracyjnym, co może umożliwić atakującemu wykonanie poleceń po podłączeniu się do urządzenia.

CVE-2025-30466
Critical

Problem ten został rozwiązany poprzez poprawę zarządzania stanem. Podatność została naprawiona w Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 oraz visionOS 2.4. Istnieje możliwość, że strona internetowa może obejść politykę tej samej domeny.

CVE-2025-48336
Critical

Podatność CVE-2025-48336 dotyczy deserializacji niezaufanych danych w wtyczce ThimPress Course Builder, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Course Builder od n/a do poniżej 3.6.6.

CVE-2025-3755
Critical

Podatność w modułach CPU serii MELSEC iQ-F firmy Mitsubishi Electric polega na niewłaściwej walidacji określonego indeksu, pozycji lub przesunięcia w danych wejściowych. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu odczyt informacji z produktu oraz wywołanie stanu Denial-of-Service (DoS) w połączeniu MELSOFT lub zatrzymanie działania modułu CPU.

CVE-2025-45343
Critical

A vulnerability in Tenda W18E router version 2.0 with firmware 16.01.0.11 allows remote arbitrary code execution. The flaw resides in the account editing functionality within the goform/setmodules route.

CVE-2025-5277
Critical

Serwer MCP aws-mcp-server jest podatny na wstrzykiwanie poleceń. Atakujący może stworzyć komunikat, który po otwarciu przez klienta MCP uruchomi dowolne polecenia na systemie gospodarza.

CVE-2025-41652
Critical

Urządzenia są podatne na obejście uwierzytelniania z powodu wad w mechanizmie autoryzacji. Nieautoryzowany zdalny atakujący może wykorzystać tę słabość, przeprowadzając ataki brute-force w celu odgadnięcia prawidłowych poświadczeń lub stosując techniki kolizji MD5 do fałszowania hashy uwierzytelniających.

CVE-2025-41651
Critical

Brak uwierzytelnienia w krytycznej funkcji urządzeń pozwala nieautoryzowanemu atakującemu zdalnie wykonywać dowolne polecenia. Może to umożliwić nieautoryzowane przesyłanie lub pobieranie plików konfiguracyjnych, co prowadzi do pełnego kompromitacji systemu.

CVE-2025-23394
Critical

W podatności CVE-2025-23394 występuje problem z podążaniem za symbolicznymi linkami w cyrus-imapd na openSUSE Tumbleweed, co pozwala na eskalację uprawnień z cyrus do roota. Dotyczy to wersji cyrus-imapd przed 3.8.4-2.1.

CVE-2025-5058
Critical

Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_image() we wszystkich wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

PreviousPage 253 of 571Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS