Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2017-20216
Krytyczne

Oprogramowanie układowe kamery termalnej FLIR PT-Series w wersji 8.0.0.64 zawiera wiele podatności na zdalne wstrzykiwanie poleceń bez uwierzytelnienia w skrypcie controllerFlirSystem.php. Atakujący mogą wykonywać dowolne polecenia systemowe jako root, wykorzystując niesanitizowane parametry POST w funkcji execFlirSystem() przez wywołania shell_exec().

CVE-2026-22189
Krytyczne

Narzędzie egg-mkfont w wersjach Panda3D do 1.10.16 zawiera podatność na przepełnienie bufora na stosie z powodu użycia nieograniczonego wywołania sprintf() z danymi kontrolowanymi przez atakującego. W trakcie tworzenia nazw plików glifów, egg-mkfont formatuje dostarczony przez użytkownika wzór glifu (-gp) do bufora stosu o stałej wielkości bez walidacji długości.

CVE-2026-21855
Krytyczne

Menadżer Danych Tarkov to narzędzie do zarządzania danymi przedmiotów w grze Tarkov. Przed 2 stycznia 2025 roku istniała podatność typu Cross Site Scripting (XSS) w systemie powiadomień toast, która pozwalała atakującym na wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki ofiary poprzez stworzenie złośliwego URL.

CVE-2026-21854
Krytyczne

Tarkov Data Manager to narzędzie do zarządzania danymi przedmiotów w grze Tarkov. Przed 2 stycznia 2025 roku istniała podatność na obejście uwierzytelniania w punkcie logowania, która pozwalała nieautoryzowanym użytkownikom uzyskać pełny dostęp administracyjny do panelu zarządzania Tarkov Data Manager.

CVE-2025-12543
KrytyczneEPSS 64%

W bibliotece Undertow HTTP server core, używanej w WildFly, JBoss EAP i innych aplikacjach Java, stwierdzono podatność polegającą na braku walidacji nagłówka Host w żądaniach HTTP. Atakujący może wysłać spreparowane żądanie z nieprawidłowym nagłówkiem Host, co prowadzi do zatrucia pamięci podręcznej, skanowania sieci wewnętrznej lub przejęcia sesji użytkownika.

CVE-2025-47552
Krytyczne

Podatność na deserializację niezaufanych danych w DZS Video Gallery umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji DZS Video Gallery od n/a do 12.37.

CVE-2025-32303
Krytyczne

W podatności CVE-2025-32303 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Mojoomla WPCHURCH. Problem ten dotyczy wersji WPCHURCH od n/a do 2.7.0.

CVE-2025-15018
Krytyczne

Wtyczka Optional Email dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.3.11 włącznie. Problem wynika z braku ograniczenia filtra 'random_password' do kontekstu rejestracji, co pozwala na wpływanie na generację kluczy resetowania haseł.

CVE-2025-15471
Krytyczne

Wykryto podatność w urządzeniu TRENDnet TEW-713RE w wersji 1.02, która pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem SZCMD w pliku /goformX/formFSrvX. Produkt został wycofany z rynku i nie jest już wspierany przez producenta.

CVE-2025-30996
Krytyczne

Podatność typu 'Nieograniczony upload pliku z niebezpiecznym typem' w motywach WordPress Themify umożliwia przesyłanie złośliwego skryptu (web shell) na serwer. Dotyczy to kilku motywów Themify, w tym Themify Sidepane, Themify Newsy i innych, w wersjach do określonych limitów.

CVE-2025-60534
Krytyczne

Blue Access Cobalt v02.000.195 zawiera podatność umożliwiającą ominięcie uwierzytelniania. Atakujący może selektywnie przekierowywać żądania, aby wykonywać funkcje aplikacji internetowej bez konieczności logowania się przy użyciu prawidłowych danych uwierzytelniających.

CVE-2025-39477
Krytyczne

W podatności CVE-2025-39477 występuje brak autoryzacji w Sfwebservice InWave Jobs, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji InWave Jobs od n/a do 3.5.8.

CVE-2020-36925
Krytyczne

Arteco Web Client DVR/NVR zawiera podatność na przejęcie sesji z powodu niewystarczającej złożoności identyfikatora sesji, co pozwala zdalnym atakującym na ominięcie uwierzytelnienia. Atakujący mogą przeprowadzić atak brute force na identyfikatory sesji w określonym zakresie numerycznym, aby uzyskać dostęp do ważnych sesji i strumieni na żywo z kamer bez autoryzacji.

CVE-2020-36912
Krytyczne

Plexus anblick Digital Signage Management w wersji 3.1.13 zawiera podatność na otwarte przekierowanie w skrypcie 'PantallaLogin', co pozwala atakującym na manipulację parametrem GET 'pagina'. Atakujący mogą tworzyć złośliwe linki, które przekierowują użytkowników na dowolne strony internetowe.

CVE-2025-15001
Krytyczne

Wtyczka FS Registration Password dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.0.1. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-14996
Krytyczne

Wtyczka AS Password Field w domyślnym formularzu rejestracyjnym dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 2.0.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-15444
Krytyczne

Moduł Crypt::Sodium::XS w wersjach wcześniejszych niż 0.000042 dla Perla zawiera podatną wersję libsodium. Wersje libsodium do 1.0.20 lub wydane przed 30 grudnia 2025 roku mają podatność, która może prowadzić do nieprawidłowego sprawdzania punktów na krzywej eliptycznej.

CVE-2026-0625
Krytyczne

Wiele urządzeń D-Link DSL/DIR/DNS zawiera lukę w autoryzacji oraz niewłaściwą kontrolę dostępu w punkcie końcowym dnscfg.cgi, co pozwala nieautoryzowanemu atakującemu na dostęp do funkcji konfiguracji DNS. Atakujący może zmodyfikować ustawienia DNS urządzenia bez ważnych poświadczeń, co umożliwia ataki typu DNS hijacking.

CVE-2025-39484
Krytyczne

W podatności CVE-2025-39484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Waituk Entrada. Problem ten dotyczy wersji Entrada od n/a do 5.7.7.

CVE-2025-14346
Krytyczne

Wózki inwalidzkie elektryczne WHILL Model C2 oraz Model F nie wymuszają uwierzytelnienia dla połączeń Bluetooth. Atakujący znajdujący się w zasięgu może sparować się z urządzeniem i wydawać polecenia ruchu, omijać ograniczenia prędkości oraz manipulować profilami konfiguracyjnymi bez potrzeby posiadania jakichkolwiek poświadczeń lub interakcji ze strony użytkownika.

PoprzedniaStrona 195 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS