CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-28942
Critical

W podatności CVE-2025-28942 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w bramce płatności Trust Payments dla WooCommerce. Problem ten dotyczy wersji bramki od n/a do 1.1.4 włącznie.

CVE-2025-28916
Critical

W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.

CVE-2025-28898
Critical

W podatności CVE-2025-28898 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce WP Multistore Locator. Problem dotyczy wersji od n/a do 2.5.2.

CVE-2025-28893
Critical

W podatności CVE-2025-28893 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w edytorze tekstu Govind Visual Text Editor. Problem dotyczy wersji edytora od n/a do 1.2.1 włącznie.

CVE-2025-26941
Critical

W podatności CVE-2025-26941 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Church Admin w wersjach od n/a do 5.0.18.

CVE-2024-47516
Critical

W Pagure odkryto podatność, która polega na wstrzykiwaniu argumentów w Git podczas pobierania historii repozytoriów. Może to prowadzić do zdalnego wykonania kodu na instancji Pagure.

CVE-2025-25373
Critical

Moduł zarządzania pamięcią systemu cFS (Core Flight System) Aquila NASA ma niebezpieczne uprawnienia, co może być wykorzystane do uzyskania zdalnego wykonania kodu (RCE) na platformie.

CVE-2024-48818
Critical

Problem w IIT Bombay, Mumbai, India w Bodhitree wersji cs101 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu.

CVE-2025-28904
Critical

W podatności CVE-2025-28904 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Shamalli Web Directory Free. Problem dotyczy wersji Web Directory Free od n/a do 1.7.6 włącznie.

CVE-2024-42533
Critical

W module uwierzytelniania w Convivance StandVoice w wersjach od 4.5 do 6.2 występuje podatność na atak typu SQL injection, która umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą parametru GEST_LOGIN.

CVE-2025-1974
Critical

W Kubernetes odkryto problem bezpieczeństwa, który pozwala nieautoryzowanemu atakującemu z dostępem do sieci podów na wykonanie dowolnego kodu w kontekście kontrolera ingress-nginx. Może to prowadzić do ujawnienia sekretów dostępnych dla kontrolera.

CVE-2025-29315
Critical

W mechanizmie RBAC (kontrola dostępu oparta na rolach) opartym na Shiro w projekcie OpenDaylight Service Function Chaining (SFC) w wersji Sodium-SR4 i niższych występuje problem, który umożliwia atakującym wykonywanie uprzywilejowanych operacji za pomocą spreparowanego żądania.

CVE-2025-30615
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce WP e-Commerce Style Email pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.6.2 włącznie.

CVE-2025-30528
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Awesome Logos umożliwia wykonanie ataku SQL Injection. Problem dotyczy wersji Awesome Logos od n/a do 1.2 włącznie.

CVE-2025-29922
Critical

Kcp to kontroler podobny do Kubernetes, który obsługuje różne formy i przypadki użycia. Przed wersją 0.26.3 istniała podatność, która pozwalała na tworzenie lub usuwanie obiektów za pomocą APIExport VirtualWorkspace w dowolnej przestrzeni roboczej dla istniejących zasobów, co powinno być dozwolone tylko po przyznaniu dostępu przez właściciela przestrzeni roboczej.

CVE-2025-2311
Critical

W podatności CVE-2025-2311 w oprogramowaniu SecHard przed wersją 3.3.0.20220411 występuje nieprawidłowe użycie uprzywilejowanych interfejsów API, co prowadzi do możliwości ominięcia uwierzytelnienia, manipulacji interfejsem oraz nadużycia uwierzytelnienia. Dodatkowo, dane wrażliwe są przesyłane w postaci niezaszyfrowanej, co zwiększa ryzyko wycieku informacji.

CVE-2024-9701
Critical

Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.

CVE-2024-9070
Critical

W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.

CVE-2024-8502
Critical

Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.

CVE-2024-7957
Critical

W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.

PreviousPage 273 of 573Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS