Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18, która dotyczy nieznanej funkcji pliku /goform/onSSIDChange w komponencie obsługi żądań HTTP. Manipulacja argumentem ssid_index prowadzi do przepełnienia bufora na stosie.
W Dify w wersji 1.9.1 występuje podatność związana z błędną konfiguracją CORS w punkcie końcowym /console/api/setup. Polityka CORS jest niebezpieczna, ponieważ odzwierciedla dowolny nagłówek Origin i umożliwia ustawienie Access-Control-Allow-Credentials: true, co pozwala na autoryzowane żądania z dowolnych zewnętrznych domen.
W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /goform/wirelessRestart w komponencie obsługi żądań HTTP. Manipulacja argumentem GO prowadzi do przepełnienia bufora na stosie.
W podatności CVE-2025-14860 występuje błąd use-after-free w komponencie API dostępu dla osób z niepełnosprawnościami. Problem ten został naprawiony w wersji Firefox 146.0.1.
W podatności CVE-2025-66078 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w wtyczce Hotel Booking Lite, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji Hotel Booking Lite od n/a do 5.2.3 włącznie.
W podatności CVE-2025-66074 wtyczka WP Webhooks w Cozmoslabs umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co prowadzi do ataków typu Path Traversal. Problem ten dotyczy wersji WP Webhooks od n/a do 3.3.8 włącznie.
Podatność CVE-2025-64374 w motywie Motors od StylemixThemes pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Motors od n/a do 5.6.81 włącznie.
Podatność CVE-2025-64233 dotyczy deserializacji niezaufanych danych w Codiqa od BoldThemes, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach Codiqa od n/a do poniżej 1.2.8.
Podatność CVE-2025-64231 dotyczy wtyczki RedefiningTheWeb WordPress Contact Form 7 PDF, Google Sheet & Database, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 3.0.0 włącznie.
Podatność CVE-2025-64227 dotyczy deserializacji niezaufanych danych w systemie fakturowania BoldGrid od Sprout Invoices, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 20.8.7 włącznie.
Podatność na deserializację niezaufanych danych w TieLabs Jannah umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Jannah od n/a do 7.6.0 włącznie.
W podatności CVE-2025-64188 w PenciDesign Soledad występuje nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji Soledad od n/a do 8.6.9 włącznie.
W podatności CVE-2025-60062 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w tPlayer w wersjach od n/a do 1.2.1.6.
W podatności CVE-2025-58951 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie zarządzania rezerwacjami miejsc smartcms Advance dla WooCommerce. Problem ten dotyczy wersji od n/a do 3.1 włącznie.
Podatność CVE-2025-54723 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes DentiCare, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji DentiCare od n/a do poniżej 1.4.3.
W podatności CVE-2025-53433 występuje niewłaściwe zarządzanie nazwą pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wersji EasyEat od n/a do 1.9.0 włącznie.
Zerobyte to narzędzie do automatyzacji kopii zapasowych, które w wersjach przed 0.18.5 i 0.19.0 zawiera podatność na obejście uwierzytelniania. Problem polega na tym, że middleware uwierzytelniające nie jest prawidłowo stosowane do punktów końcowych API, co umożliwia dostęp do nich bez ważnych poświadczeń sesji.
W wersjach mcp-server-git przed 2025.12.17, serwer uruchamiany z flagą --repository nie weryfikował, czy argumenty repo_path w kolejnych wywołaniach narzędzi mieszczą się w skonfigurowanej ścieżce. To mogło pozwolić na operacje na innych repozytoriach dostępnych dla procesu serwera.
Problem dotyczy niewłaściwej walidacji adresów URL w Safari, co może pozwolić na wykorzystanie interfejsów API Web w kontekście, który powinien być ograniczony. Został naprawiony w wersji Safari 26.2 oraz macOS Tahoe 26.2.
Problem z konfiguracją został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Problem ten został naprawiony w iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 oraz visionOS 26.2, gdzie zdjęcia w albumie Ukryte mogą być przeglądane bez uwierzytelnienia.

