CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-45949
Critical

A critical vulnerability in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel. Improper session data handling allows a Session Hijacking attack, leading to account takeover.

CVE-2025-45947
Critical

A vulnerability in the Online Banquet Booking System V1.2 allows a remote attacker to execute arbitrary code via the /obbs/change-password.php file in the change password component.

CVE-2025-3200
Critical

Podatność CVE-2025-3200 dotyczy nieautoryzowanego zdalnego atakującego, który może wykorzystać niebezpieczne protokoły TLS 1.0 i TLS 1.1 do przechwytywania i manipulowania zaszyfrowanymi komunikacjami między Com-Server a podłączonymi systemami.

CVE-2025-32980
Critical

NETSCOUT nGeniusONE w wersjach przed 6.4.0 P11 b3245 ma słabą konfigurację Sudo, co może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2024-56156
Critical

Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.

CVE-2025-32432
Critical

Craft to elastyczny, przyjazny dla użytkownika system zarządzania treścią (CMS), który umożliwia tworzenie niestandardowych doświadczeń cyfrowych. Wersje od 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17 są podatne na zdalne wykonanie kodu.

CVE-2025-2470
Critical

Wtyczka Service Finder Bookings dla WordPressa, używana w motywie Service Finder - Directory and Job Board, jest podatna na eskalację uprawnień we wszystkich wersjach do 5.1 włącznie. Problem wynika z braku ograniczeń dotyczących ról użytkowników w funkcji 'nsl_registration_store_extra_input'.

CVE-2025-46616
Critical

API interfejsu graficznego Quantum StorNext przed wersją 7.2.4 umożliwia potencjalne zdalne wykonanie dowolnego kodu (RCE) poprzez przesłanie pliku. Dotyczy to również StorNext RYO, StorNext Xcellis Workflow Director oraz ActiveScale Cold Storage przed wersją 7.2.4.

CVE-2025-46275
Critical

WGS-80HPT-V2 oraz WGS-4215-8T2S mają lukę w zabezpieczeniach, która pozwala atakującemu na utworzenie konta administratora bez znajomości jakichkolwiek istniejących poświadczeń. Brak autoryzacji stwarza poważne zagrożenie dla systemu.

CVE-2025-46274
Critical

UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, co może pozwolić nieautoryzowanemu atakującemu na odczyt, manipulację oraz tworzenie wpisów w zarządzanej bazie danych.

CVE-2025-46273
Critical

UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, które mogą umożliwić nieautoryzowanemu atakującemu uzyskanie uprawnień administracyjnych do wszystkich urządzeń zarządzanych przez UNI-NMS.

CVE-2025-46272
Critical

Urządzenia WGS-80HPT-V2 i WGS-4215-8T2S są podatne na atak typu injection komend, który może umożliwić nieautoryzowanemu atakującemu wykonanie poleceń systemu operacyjnego na systemie gospodarza.

CVE-2025-46271
Critical

UNI-NMS-Lite jest podatny na atak typu injection poleceń, który może umożliwić nieautoryzowanemu atakującemu odczyt lub manipulację danymi urządzenia.

CVE-2025-43859
Critical

h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.

CVE-2025-43858
Critical

YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.

CVE-2025-46264
Critical

Podatność CVE-2025-46264 wtyczki PowerPress Podcasting umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji PowerPress Podcasting od n/a do 11.12.5 włącznie.

CVE-2025-46248
Critical

Podatność CVE-2025-46248 dotyczy niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w aplikacji Frontend Dashboard w wersjach od n/a do 2.2.5.

CVE-2025-3604
Critical

Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-3603
Critical

Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.

CVE-2025-3065
Critical

Wtyczka Database Toolset jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji we wszystkich wersjach do i włącznie z 1.8.4. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

PreviousPage 262 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS