Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-12539
Krytyczne

Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.

CVE-2025-12813
Krytyczne

Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.

CVE-2025-11457
Krytyczne

Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.

CVE-2025-11170
Krytyczne

Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-42890
Krytyczne

SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.

CVE-2025-42887
Krytyczne

Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-12868
Krytyczne

Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.

CVE-2025-12866
Krytyczne

EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.

CVE-2025-10230
KrytyczneEPSS 98%

W Samba, w obsłudze hooka WINS, nazwy NetBIOS z pakietów rejestracji są przekazywane do powłoki bez odpowiedniej walidacji lub escapowania. Nieoczyszczone dane nazw NetBIOS z pakietów rejestracji WINS są wstawiane do polecenia powłoki i wykonywane przez hook WINS kontrolera domeny Samba Active Directory, co pozwala nieuwierzytelnionemu atakującemu sieciowemu na zdalne wykonanie kodu jako proces Samba.

CVE-2025-63689
Krytyczne

W systemie ycf1998 money-pos przed commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) występuje wiele podatności typu SQL injection, które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr orderby.

CVE-2025-12352
Krytyczne

Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-64180
Krytyczne

W oprogramowaniu księgowym Manager-io/Manager w wersjach Desktop i Server 25.11.1.3085 i poniżej występuje krytyczna podatność, która umożliwia nieautoryzowany dostęp do zasobów wewnętrznej sieci. Problem wynika z wadliwej konstrukcji mechanizmu walidacji DNS.

CVE-2025-12488
Krytyczne

Podatność CVE-2025-12488 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do ładowania modelu.

CVE-2025-12487
Krytyczne

Podatność CVE-2025-12487 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do załadowania modelu.

CVE-2025-6327
Krytyczne

Podatność CVE-2025-6327 w King Addons dla Elementor umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 51.1.36.

CVE-2025-6325
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce King Addons dla Elementor umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 51.1.36.

CVE-2025-62065
Krytyczne

Podatność CVE-2025-62065 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w Rometheme RTMKit dla Elementor. Problem ten występuje w wersjach RTMKit od n/a do 1.6.5 włącznie.

CVE-2025-62064
Krytyczne

Podatność CVE-2025-62064 w Elated-Themes Search & Go umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła. Problem dotyczy wersji Search & Go od n/a do 2.7 włącznie.

CVE-2025-62047
Krytyczne

Podatność CVE-2025-62047 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce Case Addons dla Case-Themes. Problem ten występuje w wersjach od n/a do poniżej 1.3.0.

CVE-2025-62016
Krytyczne

Podatność CVE-2025-62016 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w motywie KALLYAS. Problem ten występuje w wersjach KALLYAS od n/a do 4.22.0 włącznie.

PoprzedniaStrona 213 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS