CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-13147
Critical

W panelu logowania B2B oprogramowania Merkur występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji przed 15.01.2025.

CVE-2024-12097
Critical

W podatności CVE-2024-12097 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie E-Travel firmy Boceksoft Informatics. Problem dotyczy wersji przed 15.12.2024.

CVE-2024-12281
Critical

Motyw Homey dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 2.4.2 włącznie. Problem wynika z możliwości, jaką plugin daje użytkownikom rejestrującym nowe konta, aby mogli ustawić własną rolę.

CVE-2024-11951
Critical

Wtyczka Homey Login Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.4.0 włącznie. Problem wynika z możliwości, że użytkownicy rejestrujący nowe konta mogą ustawić własną rolę, co pozwala nieautoryzowanym atakującym na uzyskanie podwyższonych uprawnień poprzez stworzenie konta z rolą administratora.

CVE-2025-1515
Critical

Wtyczka WP Real Estate Manager dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 2.8. Problem wynika z niewystarczającej weryfikacji tożsamości w procesie logowania przez LinkedIn.

CVE-2024-13787
Critical

Motyw VEDA - MultiPurpose WordPress Theme dla WordPressa jest podatny na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 4.2, poprzez deserializację nieufnych danych wejściowych w funkcji 'veda_backup_and_restore_action'. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, wstrzyknięcie obiektu PHP.

CVE-2025-1393
Critical

Nieautoryzowany zdalny atakujący może wykorzystać wbudowane dane uwierzytelniające, aby uzyskać pełne uprawnienia administracyjne w dotkniętym produkcie.

CVE-2025-24924
Critical

W GMOD Apollo występuje funkcjonalność, która nie wymaga uwierzytelnienia, gdy jest używana z nazwą użytkownika administracyjnego. Może to prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych.

CVE-2025-23410
Critical

Podatność CVE-2025-23410 dotyczy interfejsu webowego GMOD Apollo, który podczas przesyłania danych organizmów lub sekwencji nie sprawdza ataków typu path traversal w obsługiwanych typach archiwów. To może prowadzić do nieautoryzowanego dostępu do systemu plików.

CVE-2025-1260
Critical

Na podatnych platformach działających na Arista EOS z skonfigurowanym OpenConfig, żądanie gNOI może być wykonane, gdy powinno zostać odrzucone. Może to prowadzić do nieoczekiwanego zastosowania konfiguracji lub operacji na przełączniku.

CVE-2025-1942
Critical

Podatność CVE-2025-1942 dotyczy funkcji String.toUpperCase(), która mogła powodować wydłużenie łańcucha, co skutkowało włączeniem niezainicjowanej pamięci do wyniku. Problem ten został naprawiony w wersjach Firefox 136 i Thunderbird 136.

CVE-2025-1941
Critical

W określonych okolicznościach, ustawienie wymagające uwierzytelnienia przed użyciem funkcji Focus mogło zostać ominięte. Ta podatność została naprawiona w przeglądarce Firefox 136.

CVE-2024-8262
Critical

W podatności CVE-2024-8262 w oprogramowaniu Proliz Software OBS występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu Path Traversal. Problem dotyczy wersji OBS przed 24.0927.

CVE-2025-27270
Critical

W systemie Residential Address Detection od enituretechnology występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.5.4 włącznie.

CVE-2025-27268
Critical

W podatności CVE-2025-27268 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.18 włącznie.

CVE-2025-26988
Critical

The SMS Alert Order Notifications plugin for WordPress (versions up to and including 3.7.8) contains an SQL injection vulnerability. The flaw results from improper neutralization of special elements in SQL commands, allowing an attacker to perform unauthorized database operations.

CVE-2025-26970
Critical

Podatność CVE-2025-26970 dotyczy niewłaściwej kontroli generowania kodu w rdzeniu motywu FRESHFACE Ark, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji rdzenia motywu Ark od n/a do poniżej 1.71.0.

CVE-2025-26535
Critical

W podatności CVE-2025-26535 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do podatności na atak typu Blind SQL Injection w bramce płatności CodeSolz Bitcoin / AltCoin dla WooCommerce. Problem dotyczy wersji bramki od n/a do 1.7.6 włącznie.

CVE-2025-25150
Critical

W podatności CVE-2025-25150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce uListing w wersjach od n/a do 2.1.6.

CVE-2025-1671
Critical

Wtyczka Academist Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.1.6. Problem wynika z funkcji academist_membership_check_facebook_user(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

PreviousPage 276 of 573Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS