CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-4558
Critical

GPM od WormHole Tech posiada podatność na niezweryfikowaną zmianę hasła, która pozwala nieautoryzowanym atakującym zdalnym na zmianę hasła dowolnego użytkownika i zalogowanie się do systemu przy użyciu zmodyfikowanego hasła.

CVE-2025-4557
Critical

System zarządzania parkingiem firmy ZONG YU posiada lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na dostęp do określonych interfejsów API oraz wykonywanie funkcji systemowych. Funkcje te obejmują otwieranie bram i restartowanie systemu.

CVE-2025-4556
Critical

Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma podatność na nieautoryzowane przesyłanie plików, co pozwala zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.

CVE-2025-4555
Critical

Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do funkcji systemowych. Funkcje te obejmują otwieranie bram, przeglądanie tablic rejestracyjnych oraz rekordów parkingowych, a także restartowanie systemu.

CVE-2025-28200
Critical

The Victure RX1800 device (firmware version EN_V1.0.0_r12_110933) uses a default password consisting of the last 8 digits of the MAC address. This makes the password easily guessable by anyone who knows the device's MAC address.

CVE-2024-12442
Critical

Wersje EnerSys AMPA od 24.04 do 24.16 są podatne na wstrzykiwanie poleceń, co może prowadzić do uzyskania zdalnego dostępu z uprawnieniami administratora.

CVE-2024-11861
Critical

EnerSys AMPA w wersji 22.09 i wcześniejszych jest podatny na wstrzykiwanie poleceń, co prowadzi do uzyskania zdalnego dostępu z uprawnieniami administratora.

CVE-2025-4403
Critical

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z akceptacji ciągu supported_type dostarczonego przez użytkownika oraz nazwy przesyłanego pliku bez wymuszania rzeczywistych sprawdzeń rozszerzeń lub MIME w funkcji upload().

CVE-2025-3605
Critical

Wtyczka Frontend Login and Registration Blocks dla WordPress jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-2253
Critical

Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().

CVE-2024-11617
Critical

Wtyczka Envolve Plugin dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjach 'zetra_languageUpload' i 'zetra_fontsUpload' we wszystkich wersjach do 1.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-3714
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3711
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3710
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-29972
Critical

Podatność CVE-2025-29972 dotyczy ataku typu server-side request forgery (SSRF) w Azure Storage Resource Provider, który pozwala autoryzowanemu napastnikowi na przeprowadzenie spoofingu w sieci.

CVE-2025-29813
Critical

Podatność CVE-2025-29813 dotyczy obejścia uwierzytelniania w Azure DevOps, które wynika z założenia, że dane są niezmienne. Umożliwia to nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2023-31585
Critical

Grocery-CMS-PHP-Restful-API w wersji 1.3 jest podatny na atak związany z przesyłaniem plików poprzez skrypt /admin/add-category.php. Atakujący może wykorzystać tę podatność do przesłania złośliwych plików na serwer.

CVE-2025-0505
Critical

W systemach Arista CloudVision (wirtualnych lub fizycznych wdrożeniach lokalnych) funkcja Zero Touch Provisioning może być wykorzystana do uzyskania uprawnień administratora w systemie CloudVision, co daje więcej uprawnień niż to konieczne. Może to być użyte do zapytania lub manipulacji stanem systemu dla zarządzanych urządzeń.

CVE-2024-12378
Critical

Na podatnych platformach działających na Arista EOS z skonfigurowanym bezpiecznym Vxlan, ponowne uruchomienie agenta Tunnelsec spowoduje, że pakiety będą przesyłane przez bezpieczne tuneli Vxlan w postaci niezaszyfrowanej.

CVE-2024-11186
Critical

W dotkniętych wersjach portalu CloudVision występują niewłaściwe kontrole dostępu, które mogą umożliwić złośliwemu uwierzytelnionemu użytkownikowi podejmowanie szerszych działań na zarządzanych urządzeniach EOS niż zamierzono. Problem dotyczy produktów Arista CloudVision Portal działających lokalnie.

PreviousPage 259 of 571Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS