CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-32496
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w Uncodethemes Ultra Demo Importer (wersje od n/a do 1.0.5) umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy funkcji importu demo w tym wtyczce.

CVE-2025-31033
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Buddypress Humanity pozwala na przeprowadzenie ataków CSRF. Problem dotyczy wersji Buddypress Humanity od n/a do 1.2 włącznie.

CVE-2025-31002
Critical

Podatność CVE-2025-31002 w Squeeze pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Squeeze od n/a do 1.6 włącznie.

CVE-2025-27797
Critical

W urządzeniach Wi-Fi AP UNIT 'AC-WPS-11ac series' występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, zdalny atakujący, który ma dostęp do logowania, może wykonać dowolne polecenie systemowe.

CVE-2025-32461
Critical

Wersja Tiki przed 28.3 zawiera podatność w wikiplugin_includetpl, która niewłaściwie obsługuje dane wejściowe przekazywane do funkcji eval. Problem został naprawiony w wersjach 21.12, 24.8, 27.2 oraz 28.3.

CVE-2025-22871
Critical

The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.

CVE-2024-54092
Critical

Zidentyfikowano podatność w zestawie narzędzi Industrial Edge Device Kit dla architektur arm64 i x86-64 w różnych wersjach. Wersje przed V1.20.2-1 dla arm64 oraz przed V1.21.1-1 dla x86-64 są szczególnie narażone.

CVE-2025-31330
Critical

SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-30016
Critical

SAP Financial Consolidation umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do konta administratora. Podatność wynika z niewłaściwych mechanizmów uwierzytelniania, co ma duży wpływ na poufność, integralność i dostępność aplikacji.

CVE-2025-27429
Critical

SAP S/4HANA umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-2004
Critical

Wtyczka Simple WP Events dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji AJAX wpe_delete_file we wszystkich wersjach do i włącznie z 1.8.17. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2025-3363
Critical

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze.

CVE-2025-3362
Critical

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-3361
Critical

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-3248
CriticalActively exploitedEPSS 100%

Langflow versions prior to 1.3.0 are vulnerable to code injection via the /api/v1/validate/code endpoint. An unauthenticated remote attacker can execute arbitrary code by sending crafted HTTP requests.

CVE-2025-2941
Critical

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.

CVE-2021-47667
Critical

W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.

CVE-2025-32118
Critical

Podatność CVE-2025-32118 dotyczy wtyczki CMP – Coming Soon & Maintenance, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.

CVE-2025-31480
Critical

CVE-2025-31480 dotyczy rozszerzenia PostgreSQL o nazwie aiven-extras, które ma lukę umożliwiającą eskalację uprawnień do superużytkownika w bazach danych PostgreSQL. Luka ta wykorzystuje fakt, że funkcja format nie jest prefiksowana schematem.

CVE-2025-31403
Critical

W podatności CVE-2025-31403 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji shiptrack Booking Calendar i Notification. Problem dotyczy wersji od n/a do 4.0.3 włącznie.

PreviousPage 267 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS