Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-65849
Krytyczne

Wersja 0.8.0 i nowsze trybu obfuskacji Proof-of-Work w Altcha mają lukę, która pozwala zdalnym użytkownikom na odzyskanie nonce Proof-of-Work w stałym czasie za pomocą dedukcji matematycznej. Producent kwestionuje tę podatność, podkreślając, że celem produktu jest zniechęcenie do automatycznego skanowania, a nie zapewnienie odporności na zdeterminowanych atakujących.

CVE-2025-12673
Krytyczne

Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji update_qr_code() we wszystkich wersjach do i włącznie z 1.2.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-66562
Krytyczne

W Tuui, kliencie MCP, przed wersją 1.3.4 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną luką Cross-Site Scripting (XSS) w komponencie renderującym Markdown. Luka ta pozwala na wykonanie dowolnego kodu JavaScript w blokach kodu ECharts.

CVE-2025-34256
Krytyczne

Serwery Advantech WISE-DeviceOn w wersjach przed 5.4 zawierają podatność na twardo zakodowany klucz kryptograficzny. Produkt używa statycznego sekretu HS512 HMAC do podpisywania tokenów JWT EIRMMToken, co pozwala na akceptację fałszywych tokenów przez serwer.

CVE-2025-64054
Krytyczne

W urządzeniach Fanvil x210 w wersji 2.12.20 wykryto podatność na odbite ataki Cross Site Scripting (XSS). Atakujący może wykorzystać spreparowane żądanie POST do punktu końcowego /cgi-bin/webconfig?page=upload&action=submit, co może prowadzić do odmowy usługi lub potencjalnego wykonania dowolnych poleceń.

CVE-2025-12374
Krytyczne

Wtyczka do WordPressa 'Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification' jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.44 włącznie. Problem wynika z niewłaściwej walidacji generowania OTP przed porównaniem go z danymi wejściowymi użytkownika w funkcji 'user_verification_form_wrap_process_otpLogin'.

CVE-2025-13313
Krytyczne

Wtyczka CRM Memberships dla WordPressa jest podatna na eskalację uprawnień poprzez reset hasła we wszystkich wersjach do 2.6 włącznie. Brak odpowiednich kontroli autoryzacji i uwierzytelnienia w akcji AJAX `ntzcrm_changepassword` umożliwia nieautoryzowanym atakującym resetowanie haseł użytkowników.

CVE-2025-66509
Krytyczne

LaraDashboard w wersji 2.3.0 i wcześniejszych ma lukę w procesie resetowania hasła, który ufa nagłówkowi Host. To pozwala atakującym na przekierowanie tokena resetowania administratora do serwera kontrolowanego przez atakującego.

CVE-2025-29269
KrytyczneEPSS 77%

W urządzeniu ALLNET ALL-RUT22GW w wersji 3.3.8 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego przez parametr 'command' w punkcie końcowym popen.cgi. Atakujący może zdalnie wykonać dowolne polecenia systemowe.

CVE-2025-29268
KrytyczneEPSS 94%

W urządzeniu ALLNET ALL-RUT22GW w wersji 3.3.8 odkryto, że biblioteka libicos.so zawiera zakodowane na stałe poświadczenia. Oznacza to, że hasła lub klucze dostępu są przechowywane w sposób jawny w pliku binarnym.

CVE-2025-64055
Krytyczne

W urządzeniu Fanvil x210 V2 w wersji 2.12.20 wykryto podatność umożliwiającą nieuwierzytelnionym atakującym w lokalnej sieci ominięcie mechanizmów uwierzytelniania i dostęp do funkcji administracyjnych, takich jak przesyłanie plików, aktualizacja oprogramowania czy restart urządzenia.

CVE-2025-66489
Krytyczne

Cal.com to oprogramowanie do planowania, które przed wersją 5.9.8 miało lukę w dostawcy poświadczeń logowania. Umożliwia ona atakującemu ominięcie weryfikacji hasła przy podaniu kodu TOTP, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2025-64443
Krytyczne

MCP Gateway w wersjach 0.27.0 i wcześniejszych jest podatny na atak DNS rebinding, gdy działa w trybie sse lub streaming transport. Atakujący może wykorzystać tę podatność, aby manipulować serwerami MCP działającymi za bramą, jeśli ofiara odwiedzi złośliwą stronę internetową lub zobaczy złośliwą reklamę.

CVE-2025-13342
Krytyczne

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na nieautoryzowaną modyfikację dowolnych opcji WordPressa we wszystkich wersjach do 3.28.20 włącznie. Problem wynika z niewystarczających kontroli uprawnień i walidacji danych wejściowych w funkcji ActionOptions::run() odpowiedzialnej za zapis.

CVE-2025-13486
Krytyczne

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na zdalne wykonanie kodu w wersjach od 0.9.0.5 do 0.9.1.1 poprzez funkcję prepare_form(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func_array().

CVE-2025-13542
Krytyczne

Wtyczka DesignThemes LMS dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.4 włącznie. Problem wynika z funkcji 'dtlms_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-66409
Krytyczne

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

CVE-2025-41744
Krytyczne

Seria SPRECON-E firmy Sprecher Automations używa domyślnych kluczy kryptograficznych, co pozwala nieuprzywilejowanemu zdalnemu atakującemu uzyskać dostęp do wszystkich zaszyfrowanych komunikacji, naruszając poufność i integralność.

CVE-2025-41742
Krytyczne

Sprecher Automations SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 są podatne na atak ze strony nieautoryzowanego zdalnego napastnika poprzez domyślne klucze kryptograficzne. Wykorzystanie tych kluczy umożliwia napastnikowi odczyt, modyfikację oraz zapis projektów i danych, a także dostęp do urządzeń poprzez zdalną konserwację.

CVE-2025-66410
Krytyczne

Gin-vue-admin to system zarządzania zapleczem oparty na Vue i Gin. W wersjach 2.8.6 i wcześniejszych, atakujący mogą dowolnie usuwać pliki na serwerze, co prowadzi do uszkodzenia lub niedostępności zasobów serwera.

PoprzedniaStrona 202 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS