Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-68271
Krytyczne

OpenC3 COSMOS w wersjach od 5.0.0 do 6.10.1 zawiera krytyczną podatność na zdalne wykonanie kodu, dostępną przez API JSON-RPC. Atakujący może wykorzystać nieautoryzowane żądania do wykonania kodu Ruby, mimo że żądanie kończy się niepowodzeniem autoryzacji (401).

CVE-2026-20963
Krytyczne

Deserializacja nieufnych danych w Microsoft Office SharePoint umożliwia nieautoryzowanemu atakującemu wykonanie kodu w sieci.

CVE-2025-47855
Krytyczne

W podatności CVE-2025-47855 w Fortinet FortiFone w wersjach 7.0.0 do 7.0.1 oraz 3.0.13 do 3.0.23 występuje ujawnienie wrażliwych informacji osobom nieuprawnionym. Atakujący bez uwierzytelnienia może uzyskać konfigurację urządzenia za pomocą spreparowanych żądań HTTP lub HTTPS.

CVE-2025-65783
Krytyczne

Podatność umożliwiająca dowolne przesyłanie plików w komponencie /utils/uploadFile systemu Hubert Imoveis e Administracao Ltda Hub w wersji 2.0 1.27.3. Atakujący może przesłać spreparowany plik PDF, co prowadzi do wykonania dowolnego kodu na serwerze.

CVE-2025-12548
Krytyczne

W Eclipse Che che-machine-exec znaleziono lukę, która umożliwia nieautoryzowane zdalne wykonywanie dowolnych poleceń oraz wyciek sekretów (kluczy SSH, tokenów itp.) z kontenerów Developer Workspace innych użytkowników. Luka ta jest dostępna poprzez nieautoryzowane API JSON-RPC / websocket na porcie TCP 3333.

CVE-2026-0892
Krytyczne

W przeglądarce Firefox 146 oraz kliencie pocztowym Thunderbird 146 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci i istnieje przypuszczenie, że przy odpowiednim wysiłku mogłyby zostać wykorzystane do uruchomienia dowolnego kodu.

CVE-2026-0884
Krytyczne

Podatność typu use-after-free w komponencie silnika JavaScript. Została naprawiona w wersjach Firefox 147, Firefox ESR 140.7, Thunderbird 147 oraz Thunderbird 140.7.

CVE-2026-0881
Krytyczne

Podatność umożliwia ucieczkę z piaskownicy w komponencie systemu przesyłania wiadomości. Luka została naprawiona w przeglądarce Firefox 147 i kliencie poczty Thunderbird 147.

CVE-2026-0879
Krytyczne

Podatność w komponencie graficznym Firefoksa i Thunderbirda umożliwia ucieczkę z sandboksów z powodu nieprawidłowych warunków brzegowych. Luka została załatana w wersjach Firefox 147, Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird 147 oraz Thunderbird 140.7.

CVE-2025-40805
Krytyczne

Urządzenia dotknięte tą podatnością nie egzekwują prawidłowo uwierzytelniania użytkowników na określonych punktach API. Może to umożliwić nieautoryzowanemu atakującemu zdalnemu ominięcie uwierzytelnienia i podszycie się pod prawdziwego użytkownika.

CVE-2025-14829
Krytyczne

Wtyczka E-xact | Hosted Payment dla WordPressa w wersji do 2.0 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-10915
Krytyczne

Motyw WordPress Dreamer Blog w wersji do 1.2 jest podatny na nieautoryzowane instalacje z powodu braku weryfikacji uprawnień.

CVE-2026-0501
Krytyczne

W wyniku niewystarczającej walidacji danych wejściowych w SAP S/4HANA Private Cloud i On-Premise (Księgowość ogólna), uwierzytelniony użytkownik mógłby wykonać spreparowane zapytania SQL, aby odczytać, modyfikować i usuwać dane z bazy danych. To prowadzi do wysokiego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2026-0491
Krytyczne

SAP Landscape Transformation zawiera podatność, która pozwala atakującemu z uprawnieniami administratora na wykorzystanie luki w module funkcji udostępnionym przez RFC. Luka ta umożliwia wstrzykiwanie dowolnego kodu ABAP/komend systemowych do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-29329
KrytyczneEPSS 59%

W usłudze ippprint (Internet Printing Protocol) w routerze Sagemcom F@st 3686 w wersji MAGYAR_4.121.0 występuje przepełnienie bufora. Zdalny atakujący może wysłać spreparowane żądanie HTTP, co prowadzi do wykonania dowolnego kodu.

CVE-2025-67147
Krytyczne

W systemie zarządzania siłownią amansuryawanshi Gym-Management-System-PHP 1.0 występuje wiele podatności na ataki SQL Injection poprzez parametry 'name', 'email' i 'comment' w pliku submit_contact.php, 'username' i 'pass_key' w secure_login.php oraz 'login_id', 'pwfield' i 'login_key' w change_s_pwd.php. Atakujący, zarówno nieautoryzowany, jak i autoryzowany, może wykorzystać te luki do ominięcia uwierzytelnienia, wykonania dowolnych poleceń SQL, modyfikacji rekordów w bazie danych, usunięcia danych lub eskalacji uprawnień do poziomu administratora.

CVE-2026-22785
Krytyczne

CVE-2026-22785 dotyczy podatności w orval, który generuje typowo bezpieczne klienty JS (TypeScript) z specyfikacji OpenAPI v3 lub Swagger v2. W wersjach przed 7.18.0 logika generacji serwera MCP opiera się na manipulacji ciągami, co pozwala na wstrzykiwanie dowolnego kodu poprzez niewłaściwą walidację pola podsumowania.

CVE-2025-63314
Krytyczne

W systemie DDSN Interactive Acora CMS v10.7.1 funkcja resetowania hasła używa statycznego tokena, co umożliwia atakującemu wielokrotne użycie tego samego tokena do zresetowania hasła dowolnego użytkownika i przejęcia jego konta.

CVE-2025-65552
Krytyczne

System D3D Wi-Fi Home Security ZX-G12 v2.1.1 jest podatny na ataki przez powtórzenie ramek RF na kanale komunikacyjnym czujników 433 MHz. Brak implementacji kodów zmiennych, uwierzytelniania wiadomości lub ochrony przed powtórzeniem umożliwia atakującemu w zasięgu RF nagranie prawidłowych ramek alarmowych/sterujących i ich odtworzenie w celu wywołania fałszywych alarmów.

CVE-2025-61686
KrytyczneEPSS 97%

W bibliotekach React Router i Remix wykryto podatność polegającą na możliwości odczytu/zapisu plików sesji poza docelowym katalogiem, gdy używana jest funkcja createFileSessionStorage() z niepodpisanym ciasteczkiem. Atakujący może spowodować, że sesja będzie próbować odczytać/zapisać dane w lokalizacji poza określonym katalogiem plików sesji, co zależy od uprawnień procesu serwera WWW.

PoprzedniaStrona 193 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS