CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-1638
Critical

Wtyczka Alloggio Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwej walidacji tożsamości użytkownika w funkcjach alloggio_membership_init_rest_api_facebook_login oraz alloggio_membership_init_rest_api_google_login.

CVE-2025-1564
Critical

Wtyczka SetSail Membership dla WordPressa jest podatna na ataki we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwej weryfikacji tożsamości użytkowników przez logowanie społeczne.

CVE-2024-12824
Critical

Motyw Nokri – Job Board dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.6.2. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed aktualizacją danych użytkownika, takich jak hasło.

CVE-2025-27554
Critical

ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.

CVE-2025-23116
Critical

Podatność na obejście uwierzytelniania w aplikacji UniFi Protect z włączonymi urządzeniami Auto-Adopt Bridge może umożliwić złośliwemu aktorowi, który ma dostęp do sąsiedniej sieci kamer UniFi Protect, przejęcie kontroli nad tymi kamerami.

CVE-2025-23115
Critical

Podatność typu Use After Free w kamerach UniFi Protect może umożliwić zdalne wykonanie kodu (RCE) przez złośliwego aktora, który ma dostęp do sieci zarządzającej kamerami UniFi Protect.

CVE-2024-1509
Critical

Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.

CVE-2024-8425
Critical

Wtyczka WooCommerce Ultimate Gift Card dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcjach 'mwb_wgm_preview_mail' oraz 'mwb_wgm_woocommerce_add_cart_item_data' w wersjach do 2.9.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-25570
Critical

Vue Vben Admin w wersji 2.10.1 umożliwia nieautoryzowane logowanie do panelu administracyjnego z powodu problemu z twardo zakodowanymi poświadczeniami.

CVE-2024-55160
Critical

A SQL injection vulnerability was discovered in GFast versions 2 to 3.2 via the OrderBy parameter at /system/operLog/list. An attacker can manipulate this parameter to execute unauthorized database queries.

CVE-2024-51139
CriticalEPSS 57%

A buffer overflow vulnerability exists in multiple Vigor routers in the CGI parser when handling the "Content-Length" header of HTTP POST requests. This allows a remote attacker to execute arbitrary code on the device.

CVE-2024-51138
CriticalEPSS 59%

A stack-based buffer overflow vulnerability has been found in the URL parsing functionality of the TR069 STUN server in DrayTek Vigor routers. Insufficient bounds checking on URL parameters allows a remote attacker to execute arbitrary code with elevated privileges by sending a maliciously crafted request.

CVE-2024-53944
Critical

W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.

CVE-2024-13148
Critical

Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.

CVE-2025-1751
Critical

W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.

CVE-2024-57040
Critical

Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.

CVE-2025-25790
CriticalEPSS 53%

An arbitrary file upload vulnerability was found in FoxCMS v1.2.5 within the LocalTemplate.php component. Attackers can upload a crafted ZIP file, leading to arbitrary code execution on the server.

CVE-2025-25789
CriticalEPSS 64%

FoxCMS version 1.2.5 was found to contain a remote code execution (RCE) vulnerability in the index() method at \controller\Sitemap.php. An attacker can exploit this flaw to execute arbitrary code on the server.

CVE-2025-25785
Critical

JizhiCMS v2.5.4 was discovered to contain a Server-Side Request Forgery (SSRF) vulnerability in the component \c\PluginsController.php. This allows attackers to perform intranet scanning via a crafted request.

CVE-2025-25784
CriticalEPSS 53%

An arbitrary file upload vulnerability in Jizhicms v2.5.4 component TemplateController.php allows attackers to execute arbitrary code by uploading a crafted ZIP file.

PreviousPage 277 of 573Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS