Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-13595
Krytyczne

Wtyczka CIBELES AI dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w pliku 'actualizador_git.php' w wersjach do 1.10.8 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów z GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-61168
Krytyczne

Podatność w komponencie cms_rest.php systemu SIGB PMB v8.0.1.14 umożliwia atakującym wykonanie dowolnego kodu poprzez deserializację dowolnego pliku.

CVE-2025-65085
Krytyczne

W programach Ashlar-Vellum Cobalt, Xenon, Argon, Lithium oraz Cobalt Share w wersjach 12.6.1204.216 i wcześniejszych występuje podatność typu przepełnienie bufora w stercie. Może to umożliwić atakującemu ujawnienie informacji lub wykonanie dowolnego kodu.

CVE-2025-65084
Krytyczne

W programach Ashlar-Vellum Cobalt, Xenon, Argon, Lithium oraz Cobalt Share w wersjach 12.6.1204.216 i wcześniejszych występuje podatność typu Out-of-Bounds Write, która może umożliwić atakującemu ujawnienie informacji lub wykonanie dowolnego kodu.

CVE-2025-64693
Krytyczne

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora w stercie podczas przetwarzania Content-Length. Otrzymanie specjalnie przygotowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-62691
Krytyczne

W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora na stosie podczas przetwarzania nagłówków HTTP. Otrzymanie specjalnie skonstruowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

CVE-2025-13559
Krytyczne

Wtyczka EduKart Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z funkcji 'edukart_pro_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-6389
Krytyczne

Wtyczka Sneeit Framework dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 8.3, poprzez funkcję sneeit_articles_pagination_callback(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane do call_user_func().

CVE-2025-65108
Krytyczne

Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2025-64767
Krytyczne

hpke-js to moduł Hybrydowego Szyfrowania Klucza Publicznego (HPKE) oparty na API kryptografii internetowej. Przed wersją 1.7.5, publiczna metoda Seal() w SenderContext miała warunek wyścigu, co pozwalało na wielokrotne użycie tego samego nonce AEAD dla różnych wywołań Seal().

CVE-2025-11127
Krytyczne

Wtyczka Mstoreapp Mobile App dla WordPressa w wersjach do 2.08 oraz Mstoreapp Mobile Multivendor do 9.0.1 nie weryfikuje poprawnie tożsamości użytkowników podczas korzystania z akcji AJAX. Umożliwia to nieautoryzowanym użytkownikom uzyskanie ważnej sesji dla dowolnych użytkowników, znając ich adres e-mail.

CVE-2025-64310
Krytyczne

EPSON WebConfig oraz Epson Web Control dla produktów projektorów SEIKO EPSON nie ograniczają nadmiernych prób uwierzytelnienia. Hasło użytkownika administracyjnego może zostać ujawnione w wyniku ataku typu brute force.

CVE-2025-10571
Krytyczne

Podatność na obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w systemie ABB Ability Edgenius. Problem ten dotyczy wersji 3.2.0.0 oraz 3.2.1.1.

CVE-2025-10437
Krytyczne

W systemie zarządzania Webpack firmy Eksagate Electronic Engineering and Computer Industry Trade Inc. występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu do 20251119.

CVE-2025-12057
Krytyczne

Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2025-63225
Krytyczne

Urządzenie Eurolab ELTS100_UBX (wersja oprogramowania ELTS100v1.UBX) jest podatne na naruszenie kontroli dostępu z powodu braku uwierzytelnienia na krytycznych punktach administracyjnych. Atakujący mogą bezpośrednio uzyskać dostęp do wrażliwych konfiguracji systemu i sieci, przesyłać oprogramowanie układowe oraz wykonywać nieautoryzowane działania.

CVE-2025-63747
Krytyczne

QaTraq 6.9.2 zawiera domyślne dane logowania do konta administracyjnego, które są aktywne w standardowej instalacji. Pozwala to na natychmiastowe zalogowanie się przez stronę logowania aplikacji webowej. Atakujący, który ma dostęp do strony logowania, może uzyskać pełne uprawnienia administracyjne.

CVE-2025-9501
Krytyczne

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

CVE-2025-13284
Krytyczne

ThinPLUS opracowany przez ThinPLUS ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-58083
Krytyczne

Brama Lynx+ firmy General Industrial Controls ma brak krytycznej autoryzacji w wbudowanym serwerze WWW, co może umożliwić atakującemu zdalne zresetowanie urządzenia.

PoprzedniaStrona 204 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS