CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-31201
Critical

Problem ten został rozwiązany poprzez usunięcie podatnego kodu. Został naprawiony w wersjach iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1 oraz visionOS 2.4.1.

CVE-2025-31200
Critical

Wystąpił problem z uszkodzeniem pamięci, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, visionOS 2.4.1 oraz watchOS 11.5.

CVE-2025-39601
Critical

W podatności CVE-2025-39601 występuje problem Cross-Site Request Forgery (CSRF) w wtyczce WPFactory Custom CSS, JS & PHP, który umożliwia zdalne włączenie kodu. Dotyczy to wersji wtyczki od n/a do 2.4.1 włącznie.

CVE-2025-39557
Critical

Podatność CVE-2025-39557 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Kadence WooCommerce Email Designer, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.5.14.

CVE-2024-22036
Critical

Zidentyfikowano podatność w Rancher, która pozwala na ucieczkę z chroot jail i uzyskanie dostępu root do kontenera Rancher. W środowiskach produkcyjnych możliwe jest dalsze eskalowanie uprawnień, a w środowiskach testowych i deweloperskich, przy użyciu kontenera Docker z flagą –privileged, można uciec z kontenera Docker i uzyskać dostęp do systemu hosta.

CVE-2025-3495
Critical

Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.

CVE-2025-30215
Critical

NATS-Server, serwer wysokowydajny dla systemu wiadomości NATS.io, ma lukę w zarządzaniu zasobami JetStream w wersjach od 2.2.0 do przed 2.10.27 oraz 2.11.1. Niektóre żądania API JS nie miały odpowiednich kontroli dostępu, co pozwalało użytkownikom z uprawnieniami do zarządzania JS w jednym koncie na wykonywanie działań administracyjnych na zasobach JS w innych kontach.

CVE-2025-30967
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w NotFound WPJobBoard umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy WPJobBoard w nieokreślonym zakresie wersji.

CVE-2025-26927
Critical

Podatność CVE-2025-26927 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w LiquidThemes AI Hub, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AI Hub od n/a do 1.3.7 włącznie.

CVE-2025-32445
Critical

Argo Events to framework automatyzacji workflow oparty na zdarzeniach dla Kubernetes. Użytkownik z uprawnieniami do tworzenia/modyfikowania zasobów EventSource i Sensor może uzyskać uprzywilejowany dostęp do systemu hosta i klastra, nawet bez bezpośrednich uprawnień administracyjnych.

CVE-2025-30206
Critical

Dpanel to system wizualizacji Dockera, który zawiera w swojej domyślnej konfiguracji twardo zakodowany sekret JWT. Ta podatność pozwala atakującym na generowanie ważnych tokenów JWT, co może prowadzić do przejęcia kontroli nad maszyną hosta.

CVE-2025-2567
Critical

Atakujący mógłby modyfikować lub dezaktywować ustawienia, zakłócać monitorowanie paliwa oraz operacje w łańcuchu dostaw, co prowadziłoby do wyłączenia monitorowania ATG. Może to skutkować potencjalnymi zagrożeniami dla bezpieczeństwa w przechowywaniu i transportowaniu paliwa.

CVE-2021-27289
Critical

Wykryto podatność na atak powtórzeniowy w zestawie inteligentnego domu Zigbee produkowanym przez Ksix, gdzie mechanizm anty-replay oparty na polu licznika ramek jest niewłaściwie zaimplementowany. Atakujący w zasięgu bezprzewodowym może ponownie wysłać przechwycone pakiety z wyższym numerem sekwencyjnym, co pozwala na wstrzykiwanie fałszywych poleceń bez autoryzacji.

CVE-2025-32911
CriticalEPSS 52%

A use-after-free vulnerability was found in the libsoup library, in the soup_message_headers_get_content_disposition() function. This flaw allows a malicious HTTP client to cause memory corruption in the libsoup server.

CVE-2025-30985
Critical

Podatność CVE-2025-30985 dotyczy deserializacji niezaufanych danych w systemie GNUCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GNUCommerce od n/a do 1.5.4 włącznie.

CVE-2025-1782
Critical

In the HylaFAX Enterprise Web Interface and AvantFAX, the language form element is not properly sanitized before being used, which can be exploited to include an arbitrary file in the PHP code.

CVE-2025-32931
Critical

DevDojo Voyager w wersjach od 1.4.0 do 1.8.0, przy użyciu Laravel 8 lub nowszego, umożliwia uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemu operacyjnego za pomocą określonego polecenia php artisan.

CVE-2025-23391
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w SUSE Rancher pozwala na to, aby Ograniczony Administrator zmienił hasło Administratorów i przejął ich konta. Problem dotyczy wersji rancher: od 2.8.0 do przed 2.8.14, od 2.9.0 do przed 2.9.8, od 2.10.0 do przed 2.10.4.

CVE-2025-32607
Critical

Podatność typu deserializacja niezaufanych danych w usłudze WpBookingly od magepeopleteam umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpBookingly od n/a do 1.3.0 włącznie.

CVE-2025-32603
Critical

Podatność CVE-2025-32603 dotyczy wtyczki WP Online Users Stats, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.0.0.

PreviousPage 265 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS