CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-37087
Critical

Podatność w usłudze cmdb menedżera klastrów wydajności HPE (HPCM) może umożliwić atakującemu dostęp do dowolnego pliku na hoście serwera.

CVE-2025-43951
Critical

LabVantage przed wersją LV 8.8.0.13 HF6 umożliwia lokalne włączenie plików. Użytkownicy z autoryzacją mogą pobierać dowolne pliki z systemu za pomocą parametru request objectname.

CVE-2025-43949
Critical

MuM MapEdit w wersji 24.2.3 jest podatny na atak typu SQL Injection, co pozwala atakującemu na wykonanie złośliwych zapytań SQL, które mogą kontrolować serwer bazy danych aplikacji webowej.

CVE-2024-58250
Critical

Wtyczka passprompt w pppd w ppp przed wersją 2.5.2 niewłaściwie zarządza uprawnieniami.

CVE-2025-32958
Critical

Adept to język ogólnego przeznaczenia. Przed poprawką a1a41b7, plik workflow remoteBuild.yml używał actions/upload-artifact@v4 do przesyłania artefaktu mac-standalone, który zawierał plik .git/config z tokenem GITHUB_TOKEN, co stwarzało ryzyko jego wycieku.

CVE-2025-29287
Critical

An arbitrary file upload vulnerability was found in the ueditor component of MCMS version 5.4.3. Attackers can exploit this flaw to execute arbitrary code by uploading a crafted file.

CVE-2021-4455
Critical

Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-1093
Critical

Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-3278
Critical

Wtyczka UrbanGo Membership dla WordPressa jest podatna na eskalację uprawnień w wersjach do 1.0.4 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, co pozwala na przypisanie roli administratora.

CVE-2025-28242
Critical

Nieprawidłowe zarządzanie sesjami w punkcie końcowym /login_ok.htm w DAEnetIP4 METO v1.25 umożliwia atakującym przeprowadzenie ataku przejęcia sesji.

CVE-2025-28238
Critical

Nieprawidłowe zarządzanie sesjami w oprogramowaniu układowym Elber REBLE310 w wersji v5.5.1.R umożliwia atakującym przeprowadzenie ataku przejęcia sesji.

CVE-2025-28236
Critical

W nadajnikach serii Nautel VX w wersji oprogramowania VX SW v6.4.0 i wcześniejszych odkryto podatność na zdalne wykonanie kodu (RCE) w procesie aktualizacji firmware'u. Atakujący mogą wykonać dowolny kod, dostarczając spreparowany pakiet aktualizacyjny do punktu końcowego /#/software/upgrades.

CVE-2025-28233
Critical

Błąd w kontroli dostępu w urządzeniach BW Broadcast TX600, TX300, TX150, TX1000, TX30 i TX50 umożliwia atakującym dostęp do plików dziennika oraz wydobycie identyfikatorów sesji. To może prowadzić do ataku typu hijacking sesji.

CVE-2025-28231
Critical

Nieprawidłowa kontrola dostępu w Itel Electronics IP Stream w wersji 1.7.0.6 umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń z uprawnieniami administratora.

CVE-2025-1863
Critical

W produktach rejestrujących dostarczanych przez firmę Yokogawa Electric Corporation zidentyfikowano niebezpieczne domyślne ustawienia. Funkcja uwierzytelniania jest domyślnie wyłączona, co pozwala na dostęp do wszystkich funkcji związanych z ustawieniami i operacjami przez nieautoryzowanych użytkowników.

CVE-2025-39471
Critical

W podatności CVE-2025-39471 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Modal Survey w wersjach od n/a do 2.0.2.0.1.

CVE-2025-39596
Critical

W podatności CVE-2025-39596 występuje słaba autoryzacja w wtyczce Quentn WP, co umożliwia eskalację uprawnień. Problem dotyczy wersji Quentn WP od n/a do 1.2.8 włącznie.

CVE-2025-39595
Critical

W podatności CVE-2025-39595 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w Quentn WP. Problem dotyczy wersji Quentn WP od n/a do 1.2.8.

CVE-2025-39588
Critical

Podatność CVE-2025-39588 dotyczy deserializacji niezaufanych danych w dodatkach Ultimate Store Kit Elementor. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.

CVE-2025-39587
Critical

W podatności CVE-2025-39587 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w narzędziu Stylemix Cost Calculator Builder. Problem dotyczy wersji Cost Calculator Builder od n/a do 3.2.65 włącznie.

PreviousPage 263 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS