Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-64767
Krytyczne

hpke-js to moduł Hybrydowego Szyfrowania Klucza Publicznego (HPKE) oparty na API kryptografii internetowej. Przed wersją 1.7.5, publiczna metoda Seal() w SenderContext miała warunek wyścigu, co pozwalało na wielokrotne użycie tego samego nonce AEAD dla różnych wywołań Seal().

CVE-2025-11127
Krytyczne

Wtyczka Mstoreapp Mobile App dla WordPressa w wersjach do 2.08 oraz Mstoreapp Mobile Multivendor do 9.0.1 nie weryfikuje poprawnie tożsamości użytkowników podczas korzystania z akcji AJAX. Umożliwia to nieautoryzowanym użytkownikom uzyskanie ważnej sesji dla dowolnych użytkowników, znając ich adres e-mail.

CVE-2025-64310
Krytyczne

EPSON WebConfig oraz Epson Web Control dla produktów projektorów SEIKO EPSON nie ograniczają nadmiernych prób uwierzytelnienia. Hasło użytkownika administracyjnego może zostać ujawnione w wyniku ataku typu brute force.

CVE-2025-10571
Krytyczne

Podatność na obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w systemie ABB Ability Edgenius. Problem ten dotyczy wersji 3.2.0.0 oraz 3.2.1.1.

CVE-2025-10437
Krytyczne

W systemie zarządzania Webpack firmy Eksagate Electronic Engineering and Computer Industry Trade Inc. występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu do 20251119.

CVE-2025-12057
Krytyczne

Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2025-63225
Krytyczne

Urządzenie Eurolab ELTS100_UBX (wersja oprogramowania ELTS100v1.UBX) jest podatne na naruszenie kontroli dostępu z powodu braku uwierzytelnienia na krytycznych punktach administracyjnych. Atakujący mogą bezpośrednio uzyskać dostęp do wrażliwych konfiguracji systemu i sieci, przesyłać oprogramowanie układowe oraz wykonywać nieautoryzowane działania.

CVE-2025-63747
Krytyczne

QaTraq 6.9.2 zawiera domyślne dane logowania do konta administracyjnego, które są aktywne w standardowej instalacji. Pozwala to na natychmiastowe zalogowanie się przez stronę logowania aplikacji webowej. Atakujący, który ma dostęp do strony logowania, może uzyskać pełne uprawnienia administracyjne.

CVE-2025-9501
Krytyczne

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

CVE-2025-13284
Krytyczne

ThinPLUS opracowany przez ThinPLUS ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-58083
Krytyczne

Brama Lynx+ firmy General Industrial Controls ma brak krytycznej autoryzacji w wbudowanym serwerze WWW, co może umożliwić atakującemu zdalne zresetowanie urządzenia.

CVE-2025-59367
Krytyczne

Zidentyfikowano podatność na obejście uwierzytelniania w niektórych routerach serii DSL, która może umożliwić zdalnym atakującym uzyskanie nieautoryzowanego dostępu do dotkniętego systemu.

CVE-2025-56385
Krytyczne

Podatność SQL injection w funkcji logowania WellSky Harmony 4.1.0.2.83 w endpointcie 'xmHarmony.asp'. Parametr 'TXTUSERID' nie jest odpowiednio sanityzowany przed użyciem w zapytaniu SQL. Udane wykorzystanie może prowadzić do ominięcia uwierzytelniania, wycieku danych lub pełnego przejęcia bazy danych.

CVE-2025-60724
Krytyczne

Przepełnienie bufora oparte na stercie w składniku graficznym Microsoftu umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2025-13026
Krytyczne

Podatność CVE-2025-13026 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13024
Krytyczne

Podatność CVE-2025-13024 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Problem ten został naprawiony w wersjach Firefox 145 oraz Thunderbird 145.

CVE-2025-13023
Krytyczne

Podatność CVE-2025-13023 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13022
Krytyczne

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13021
Krytyczne

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-8324
Krytyczne

Wersje 6170 i wcześniejsze oprogramowania Zohocorp ManageEngine Analytics Plus są podatne na nieautoryzowaną injekcję SQL z powodu niewłaściwej konfiguracji filtrów.

PoprzedniaStrona 212 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS