CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-47657
Critical

Podatność CVE-2025-47657 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie Productive Commerce. Problem ten dotyczy wersji od n/a do 1.1.40 włącznie.

CVE-2025-47549
Critical

Podatność CVE-2025-47549 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w wtyczce Themefic BEAF beaf-before-and-after-gallery, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji BEAF od n/a do 4.6.10 włącznie.

CVE-2025-4104
Critical

Wtyczka Frontend Dashboard dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji fed_wp_ajax_fed_login_form_post() w wersjach od 1.0 do 2.2.6. Umożliwia to nieautoryzowanym atakującym zresetowanie adresu e-mail i hasła administratora oraz podniesienie swoich uprawnień do poziomu administratora.

CVE-2025-3844
Critical

Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.

CVE-2025-0855
Critical

Wtyczka PGS Core dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 5.8.0, poprzez deserializację nieufnych danych wejściowych w funkcji 'import_header'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2025-46816
Critical

goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.

CVE-2025-3918
Critical

Wtyczka Job Listings dla WordPressa jest podatna na eskalację uprawnień z powodu niewłaściwej autoryzacji w funkcji register_action() w wersjach od 0.1 do 0.1.1. Handler rejestracji wtyczki odczytuje $_POST['user_role'] i przekazuje go bezpośrednio do wp_insert_user() bez ograniczenia do bezpiecznego zestawu ról.

CVE-2025-2421
Critical

W podatności CVE-2025-2421 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w systemie Profelis Informatics SambaBox, co umożliwia wstrzykiwanie kodu. Problem dotyczy wersji SambaBox przed 5.1.

CVE-2025-2812
Critical

W podatności CVE-2025-2812 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Mydata Informatics Ticket Sales Automation. Problem dotyczy wersji przed 03.04.2025.

CVE-2025-3746
Critical

Wtyczka OTP-less one tap Sign in dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 2.0.14 do 2.0.59. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-35996
Critical

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

CVE-2025-32011
Critical

Wersje KUNBUS PiCtory od 2.5.0 do 2.11.1 mają podatność na obejście uwierzytelniania, która pozwala zdalnemu atakującemu na ominięcie procesu uwierzytelniania dzięki wykorzystaniu przejścia przez ścieżkę.

CVE-2025-24522
Critical

KUNBUS Revolution Pi OS Bookworm 01/2025 jest podatny, ponieważ domyślnie nie skonfigurowano uwierzytelniania dla serwera Node-RED. To umożliwia nieautoryzowanemu zdalnemu atakującemu pełny dostęp do serwera Node-RED, co pozwala na uruchamianie dowolnych poleceń w systemie operacyjnym.

CVE-2025-46337
Critical

ADOdb to biblioteka klas baz danych PHP, która umożliwia wykonywanie zapytań i zarządzanie bazami danych. Przed wersją 5.22.9, niewłaściwe zabezpieczenie parametru zapytania mogło pozwolić atakującemu na wykonanie dowolnych instrukcji SQL, gdy kod korzystający z ADOdb łączył się z bazą danych PostgreSQL i wywoływał pg_insert_id() z danymi dostarczonymi przez użytkownika.

CVE-2025-27007
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Brainstorm Force OttoKit suretriggers umożliwia eskalację uprawnień. Problem ten dotyczy wersji OttoKit od n/a do 1.0.82 włącznie.

CVE-2025-47154
Critical

LibJS w Ladybird przed wersją f5a6704 niewłaściwie zarządza zwalnianiem wektora, do którego odnosi się arguments_list, co prowadzi do błędu use-after-free. To umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą spreparowanego pliku .js.

CVE-2025-25962
Critical

Problem w Coresmartcontracts Uniswap w wersji 3.0, naprawiony w wersji 4.0, umożliwia zdalnemu atakującemu eskalację uprawnień za pomocą funkcji _modifyPosition.

CVE-2025-25403
Critical

Slims (Senayan Library Management Systems) w wersji 9 Bulian V9.6.1 jest podatny na atak typu SQL Injection w pliku admin/modules/master_file/coll_type.php. Wykorzystanie tej podatności może pozwolić atakującemu na wykonanie nieautoryzowanych zapytań do bazy danych.

CVE-2025-4083
Critical

Podatność w Thunderbirdzie związana z izolacją procesów wynikała z niewłaściwego przetwarzania URI javascript:, co mogło pozwolić na wykonanie treści w procesie dokumentu głównego zamiast w zamierzonym ramce, co potencjalnie umożliwiało ucieczkę z piaskownicy.

CVE-2025-45953
Critical

A vulnerability in PHPGurukul Hostel Management System 2.1 in the /hostel/change-password.php file of the user panel (Change Password component) allows session hijacking. Improper session data handling enables remote session takeover.

PreviousPage 261 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS