Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-59719
KrytyczneEPSS 52%

W Fortinet FortiWeb w wersjach 8.0.0, 7.6.0 do 7.6.4 oraz 7.4.0 do 7.4.9 występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego. Może to pozwolić nieautoryzowanemu atakującemu na ominięcie uwierzytelnienia logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.

CVE-2025-59718
KrytyczneAktywnie exploitowaneEPSS 94%

W Fortinet FortiOS, FortiProxy i FortiSwitchManager występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.

CVE-2025-66631
Krytyczne

CSLA .NET to framework przeznaczony do tworzenia wielokrotnego użytku obiektowych warstw biznesowych dla aplikacji. Wersje 5.5.4 i niższe umożliwiają użycie WcfProxy, które jest podatne na zdalne wykonanie kodu podczas deserializacji z powodu użycia przestarzałego NetDataContractSerializer (NDCS).

CVE-2025-42928
Krytyczne

W określonych warunkach, użytkownik z wysokimi uprawnieniami może wykorzystać podatność na deserializację w SAP jConnect do uruchomienia zdalnego kodu. Wykorzystanie specjalnie przygotowanego wejścia może prowadzić do poważnych konsekwencji dla poufności, integralności i dostępności systemu.

CVE-2025-42880
Krytyczne

Z powodu braku sanitacji danych wejściowych, SAP Solution Manager pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-14330
Krytyczne

Podatność CVE-2025-14330 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-14326
Krytyczne

Podatność typu use-after-free w komponencie Audio/Video: GMP. Została naprawiona w wersjach Firefox 146 i Thunderbird 146.

CVE-2025-14324
Krytyczne

Podatność CVE-2025-14324 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 115.31, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-14321
Krytyczne

Podatność typu use-after-free w komponencie sygnalizacyjnym WebRTC. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-12504
Krytyczne

Podatność CVE-2025-12504 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w oprogramowaniu Talent Software UNIS, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji UNIS przed 42321.

CVE-2025-11022
Krytyczne

W podatności CVE-2025-11022 zidentyfikowano lukę typu Cross-Site Request Forgery (CSRF) w Personal Project Panilux, która umożliwia ataki CSRF. Problem ten prowadzi do możliwości wstrzykiwania poleceń.

CVE-2025-65849
Krytyczne

Wersja 0.8.0 i nowsze trybu obfuskacji Proof-of-Work w Altcha mają lukę, która pozwala zdalnym użytkownikom na odzyskanie nonce Proof-of-Work w stałym czasie za pomocą dedukcji matematycznej. Producent kwestionuje tę podatność, podkreślając, że celem produktu jest zniechęcenie do automatycznego skanowania, a nie zapewnienie odporności na zdeterminowanych atakujących.

CVE-2025-12673
Krytyczne

Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji update_qr_code() we wszystkich wersjach do i włącznie z 1.2.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-66562
Krytyczne

W Tuui, kliencie MCP, przed wersją 1.3.4 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną luką Cross-Site Scripting (XSS) w komponencie renderującym Markdown. Luka ta pozwala na wykonanie dowolnego kodu JavaScript w blokach kodu ECharts.

CVE-2025-34256
Krytyczne

Serwery Advantech WISE-DeviceOn w wersjach przed 5.4 zawierają podatność na twardo zakodowany klucz kryptograficzny. Produkt używa statycznego sekretu HS512 HMAC do podpisywania tokenów JWT EIRMMToken, co pozwala na akceptację fałszywych tokenów przez serwer.

CVE-2025-64054
Krytyczne

W urządzeniach Fanvil x210 w wersji 2.12.20 wykryto podatność na odbite ataki Cross Site Scripting (XSS). Atakujący może wykorzystać spreparowane żądanie POST do punktu końcowego /cgi-bin/webconfig?page=upload&action=submit, co może prowadzić do odmowy usługi lub potencjalnego wykonania dowolnych poleceń.

CVE-2025-12374
Krytyczne

Wtyczka do WordPressa 'Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login – User Verification' jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.44 włącznie. Problem wynika z niewłaściwej walidacji generowania OTP przed porównaniem go z danymi wejściowymi użytkownika w funkcji 'user_verification_form_wrap_process_otpLogin'.

CVE-2025-13313
Krytyczne

Wtyczka CRM Memberships dla WordPressa jest podatna na eskalację uprawnień poprzez reset hasła we wszystkich wersjach do 2.6 włącznie. Brak odpowiednich kontroli autoryzacji i uwierzytelnienia w akcji AJAX `ntzcrm_changepassword` umożliwia nieautoryzowanym atakującym resetowanie haseł użytkowników.

CVE-2025-66509
Krytyczne

LaraDashboard w wersji 2.3.0 i wcześniejszych ma lukę w procesie resetowania hasła, który ufa nagłówkowi Host. To pozwala atakującym na przekierowanie tokena resetowania administratora do serwera kontrolowanego przez atakującego.

CVE-2025-29269
KrytyczneEPSS 77%

W urządzeniu ALLNET ALL-RUT22GW w wersji 3.3.8 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego przez parametr 'command' w punkcie końcowym popen.cgi. Atakujący może zdalnie wykonać dowolne polecenia systemowe.

PoprzedniaStrona 209 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS