Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-67617
Krytyczne

Podatność CVE-2025-67617 dotyczy deserializacji niezaufanych danych w aplikacji Consult Aid, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Consult Aid od n/a do 1.4.3 włącznie.

CVE-2025-62056
Krytyczne

Podatność CVE-2025-62056 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce News Event w blazethemes. Problem ten występuje w wersjach od n/a do 1.0.1 włącznie.

CVE-2025-62050
Krytyczne

Podatność CVE-2025-62050 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w systemie Blogmatic. Problem ten występuje w wersjach od n/a do 1.0.3 włącznie.

CVE-2025-50002
Krytyczne

Podatność CVE-2025-50002 w Farost Energia pozwala na nieograniczone przesyłanie plików z niebezpiecznymi typami, co umożliwia przesłanie powłoki sieciowej na serwerze WWW. Problem ten dotyczy wersji Energia od n/a do 1.1.2 włącznie.

CVE-2025-49055
Krytyczne

W podatności CVE-2025-49055 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Lead Capturing Pages w wersjach od n/a do 2.5.

CVE-2025-64097
Krytyczne

NervesHub to usługa internetowa umożliwiająca zarządzanie aktualizacjami oprogramowania urządzeń w terenie. Wersje od 1.0.0 do 2.3.0 zawierały podatność, która pozwalała atakującym na łamanie tokenów API użytkowników z powodu przewidywalnego formatu tych tokenów, co mogło prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2026-1331
Krytyczne

MeetingHub opracowany przez HAMASTAR Technology ma podatność na arbitralne przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie backdoorów w postaci powłok webowych, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2026-0920
Krytyczne

Wtyczka LA-Studio Element Kit dla Elementora w WordPressie jest podatna na tworzenie użytkowników administracyjnych we wszystkich wersjach do i włącznie z 1.5.6.3. Problem wynika z funkcji 'ajax_register_handle', która nie ogranicza ról użytkowników, jakie mogą być przypisane podczas rejestracji.

CVE-2026-24042
Krytyczne

Appsmith to platforma do budowy paneli administracyjnych, narzędzi wewnętrznych i pulpitów. W wersjach 1.94 i poniżej, aplikacje dostępne publicznie pozwalają nieautoryzowanym użytkownikom na wykonywanie działań w trybie edycji poprzez wysłanie viewMode=false (lub pominięcie go) do POST /api/v1/actions/execute.

CVE-2026-24002
Krytyczne

Grist to oprogramowanie arkusza kalkulacyjnego, które używa Pythona jako języka formuł. Istnieje luka, która pozwala na uruchamianie złośliwych dokumentów w piaskownicy, co może prowadzić do uruchamiania dowolnych procesów na serwerze Grist, jeśli użytkownik ustawi `GRIST_SANDBOX_FLAVOR` na `pyodide`.

CVE-2026-23966
Krytyczne

W bibliotece sm-crypto, która implementuje chińskie algorytmy kryptograficzne SM2, SM3 i SM4, występuje podatność na odzyskanie klucza prywatnego w logice deszyfrowania SM2 przed wersją 0.3.14. Atakujący może odzyskać klucz prywatny po wielokrotnym interakcji z interfejsem deszyfrowania SM2.

CVE-2026-23958
Krytyczne

Dataease to narzędzie do analizy wizualizacji danych typu open source. Przed wersją 2.10.19, DataEase używał hasha MD5 hasła użytkownika jako sekretu do podpisywania JWT, co umożliwiało atakującym przeprowadzenie ataku brute-force na hasło administratora poprzez wykorzystanie niemonitorowanych punktów końcowych API weryfikujących tokeny JWT.

CVE-2026-23873
Krytyczne

Hustoj to otwartoźródłowy system oceny online, który jest podatny na atak CSV Injection (wstrzykiwanie formuł) poprzez funkcjonalność eksportu rankingu konkursu. Aplikacja nie sanitizuje danych wejściowych użytkownika w polu 'Nickname' przed eksportem do pliku .xls, co pozwala na wykonanie formuły Excel przez złośliwego użytkownika.

CVE-2026-23524
Krytyczne

Laravel Reverb to backend komunikacji WebSocket w czasie rzeczywistym dla aplikacji Laravel. W wersjach 1.6.3 i starszych, Reverb przekazuje dane z kanału Redis bez ograniczeń dotyczących klas, które mogą być zainicjowane, co naraża użytkowników na zdalne wykonanie kodu.

CVE-2026-23518
Krytyczne

Fleet to oprogramowanie do zarządzania urządzeniami typu open source. W wersjach wcześniejszych niż 4.78.3, 4.77.1, 4.76.2, 4.75.2 i 4.53.3 występuje podatność w procesie rejestracji MDM dla systemu Windows, która pozwala atakującemu na przesyłanie fałszywych tokenów uwierzytelniających, które nie są odpowiednio weryfikowane.

CVE-2021-47875
Krytyczne

GeoGebra CAS Calculator w wersji 6.0.631.0 zawiera podatność na odmowę usługi, która pozwala atakującym na zablokowanie aplikacji poprzez wygenerowanie dużego przepełnienia bufora. Atakujący mogą stworzyć ładunek z 8000 powtórzonych znaków i wkleić go w pole wejściowe kalkulatora, co prowadzi do awarii aplikacji.

CVE-2021-47854
Krytyczne

Wersja 45723 DD-WRT zawiera podatność na przepełnienie bufora w usłudze odkrywania sieci UPNP, która pozwala zdalnym atakującym na potencjalne wykonanie dowolnego kodu. Atakujący mogą wysyłać spreparowane pakiety M-SEARCH z nadmiernie dużymi ładunkami UUID, aby wywołać warunki przepełnienia bufora na docelowym urządzeniu.

CVE-2021-47851
Krytyczne

Mini Mouse w wersji 9.2.0 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń przez nieautoryzowany punkt końcowy HTTP. Atakujący mogą wykorzystać punkt końcowy /op=command do pobierania i wykonywania ładunków, wysyłając spreparowane żądania JSON z złośliwymi poleceniami skryptów.

CVE-2021-47748
Krytyczne

Hasura GraphQL w wersji 1.3.3 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń powłoki poprzez manipulację zapytaniami SQL. Atakujący mogą wstrzykiwać polecenia do punktu końcowego run_sql, tworząc złośliwe zapytania GraphQL, które wykonują polecenia systemowe za pomocą funkcjonalności COPY FROM PROGRAM w PostgreSQL.

CVE-2025-15521
Krytyczne

Wtyczka Academy LMS dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.5.0 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła oraz polegania wyłącznie na publicznie dostępnym nonce do autoryzacji.

PoprzedniaStrona 189 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS