Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-29268
KrytyczneEPSS 94%

W urządzeniu ALLNET ALL-RUT22GW w wersji 3.3.8 odkryto, że biblioteka libicos.so zawiera zakodowane na stałe poświadczenia. Oznacza to, że hasła lub klucze dostępu są przechowywane w sposób jawny w pliku binarnym.

CVE-2025-64055
Krytyczne

W urządzeniu Fanvil x210 V2 w wersji 2.12.20 wykryto podatność umożliwiającą nieuwierzytelnionym atakującym w lokalnej sieci ominięcie mechanizmów uwierzytelniania i dostęp do funkcji administracyjnych, takich jak przesyłanie plików, aktualizacja oprogramowania czy restart urządzenia.

CVE-2025-66489
Krytyczne

Cal.com to oprogramowanie do planowania, które przed wersją 5.9.8 miało lukę w dostawcy poświadczeń logowania. Umożliwia ona atakującemu ominięcie weryfikacji hasła przy podaniu kodu TOTP, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2025-64443
Krytyczne

MCP Gateway w wersjach 0.27.0 i wcześniejszych jest podatny na atak DNS rebinding, gdy działa w trybie sse lub streaming transport. Atakujący może wykorzystać tę podatność, aby manipulować serwerami MCP działającymi za bramą, jeśli ofiara odwiedzi złośliwą stronę internetową lub zobaczy złośliwą reklamę.

CVE-2025-13342
Krytyczne

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na nieautoryzowaną modyfikację dowolnych opcji WordPressa we wszystkich wersjach do 3.28.20 włącznie. Problem wynika z niewystarczających kontroli uprawnień i walidacji danych wejściowych w funkcji ActionOptions::run() odpowiedzialnej za zapis.

CVE-2025-13486
Krytyczne

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na zdalne wykonanie kodu w wersjach od 0.9.0.5 do 0.9.1.1 poprzez funkcję prepare_form(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func_array().

CVE-2025-13542
Krytyczne

Wtyczka DesignThemes LMS dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.4 włącznie. Problem wynika z funkcji 'dtlms_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-66409
Krytyczne

ESF-IDF to framework do rozwoju Internetu Rzeczy (IoT) firmy Espressif. W wersjach 5.5.1, 5.4.3, 5.3.4, 5.2.6, 5.1.6 i wcześniejszych, włączenie AVRCP na ESP32 i otrzymanie źle sformułowanego polecenia VENDOR DEPENDENT od urządzenia partnerskiego może spowodować, że stos Bluetooth uzyska dostęp do pamięci przed zweryfikowaniem długości bufora polecenia.

CVE-2025-41744
Krytyczne

Seria SPRECON-E firmy Sprecher Automations używa domyślnych kluczy kryptograficznych, co pozwala nieuprzywilejowanemu zdalnemu atakującemu uzyskać dostęp do wszystkich zaszyfrowanych komunikacji, naruszając poufność i integralność.

CVE-2025-41742
Krytyczne

Sprecher Automations SPRECON-E-C, SPRECON-E-P oraz SPRECON-E-T3 są podatne na atak ze strony nieautoryzowanego zdalnego napastnika poprzez domyślne klucze kryptograficzne. Wykorzystanie tych kluczy umożliwia napastnikowi odczyt, modyfikację oraz zapis projektów i danych, a także dostęp do urządzeń poprzez zdalną konserwację.

CVE-2025-66410
Krytyczne

Gin-vue-admin to system zarządzania zapleczem oparty na Vue i Gin. W wersjach 2.8.6 i wcześniejszych, atakujący mogą dowolnie usuwać pliki na serwerze, co prowadzi do uszkodzenia lub niedostępności zasobów serwera.

CVE-2025-66405
Krytyczne

Portkey.ai Gateway przed wersją 1.14.0 ustalał docelowy baseURL na podstawie wartości w nagłówku x-portkey-custom-host. To może być wykorzystane przez użytkowników do przeprowadzenia ataków SSRF.

CVE-2025-66401
Krytyczne

MCP Watch to kompleksowy skaner bezpieczeństwa dla serwerów Model Context Protocol (MCP). W wersji 0.1.2 i wcześniejszych klasa MCPScanner zawiera krytyczną podatność na wstrzyknięcie poleceń w metodzie cloneRepo, gdzie argument githubUrl jest przekazywany bezpośrednio do powłoki systemowej bez sanitizacji.

CVE-2025-51683
Krytyczne

W mJobtime w wersji 15.7.2 wykryto podatność na ślepą iniekcję SQL (blind SQLi). Nieuwierzytelniony atakujący może wykonać dowolne zapytania SQL poprzez spreparowane żądanie POST do endpointu /Default.aspx/update_profile_Server.

CVE-2025-51682
Krytyczne

Podatność w mJobtime 15.7.2 polega na obsłudze autoryzacji po stronie klienta, co umożliwia atakującemu modyfikację kodu klienckiego i uzyskanie dostępu do funkcji administracyjnych. Dodatkowo atakujący może tworzyć żądania na podstawie kodu klienckiego, aby bezpośrednio wywoływać te funkcje.

CVE-2025-3500
Krytyczne

W podatności CVE-2025-3500 występuje przepełnienie lub owinięcie liczb całkowitych w programie Avast Antivirus (wersja 25.1.981.6) na systemie Windows, co umożliwia eskalację uprawnień. Problem dotyczy wersji programu od 25.1.981.6 do przed 25.3.

CVE-2025-35028
Krytyczne

Podatność CVE-2025-35028 pozwala na wykonanie polecenia w kontekście serwera MCP z normalnymi uprawnieniami, zazwyczaj jako root, poprzez dostarczenie argumentu wiersza poleceń zaczynającego się od średnika do punktu końcowego API. W domyślnej konfiguracji serwera MCP nie ma próby sanitizacji tych argumentów.

CVE-2025-13615
Krytyczne

Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-13675
Krytyczne

Motyw Tiger dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do i włącznie z 101.2.1. Problem wynika z braku ograniczeń w pliku 'paypal-submit.php', który pozwala na rejestrację użytkowników z rolą 'administrator'.

CVE-2025-13540
Krytyczne

Wtyczka Tiare Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2. Problem wynika z funkcji 'tiare_membership_init_rest_api_register', która nie ogranicza ról użytkowników podczas rejestracji.

PoprzedniaStrona 210 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS