Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-59434
Krytyczne

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed sierpniem 2025 roku, w Cloud-Hosted Flowise, istniała uwierzytelniona podatność, która pozwalała użytkownikom na darmowym poziomie dostępu do wrażliwych zmiennych środowiskowych innych najemców za pośrednictwem węzła Custom JavaScript Function.

CVE-2025-58255
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce yonisink Custom Post Type Images umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.5 włącznie.

CVE-2025-57602
Krytyczne

Niewystarczające zabezpieczenie konta proxyuser w platformie zarządzania IoT AiKaan, w połączeniu z użyciem wspólnego, zakodowanego klucza prywatnego SSH, umożliwia zdalnym atakującym uwierzytelnienie się w kontrolerze chmurowym, uzyskanie dostępu do powłoki interaktywnej oraz przejście do innych podłączonych urządzeń IoT. Może to prowadzić do zdalnego wykonania kodu, ujawnienia informacji oraz eskalacji uprawnień w środowiskach klientów.

CVE-2025-57601
Krytyczne

AiKaan Cloud Controller wykorzystuje jednego hardcodowanego klucza prywatnego SSH oraz nazwę użytkownika `proxyuser` do zdalnego dostępu terminalowego do wszystkich zarządzanych urządzeń IoT/edge. W momencie, gdy administrator inicjuje 'Otwórz zdalny terminal' z pulpitu AiKaan, kontroler wysyła ten sam statyczny klucz prywatny do docelowego urządzenia, co stwarza ryzyko nieautoryzowanego dostępu.

CVE-2025-40925
Krytyczne

Wersje Starch 0.14 i wcześniejsze generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji zwraca skrót SHA-1, który jest podatny na przewidywanie.

CVE-2025-5948
Krytyczne

Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 6.0 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed przejęciem biznesu przy użyciu akcji AJAX claim_business.

CVE-2025-10690
Krytyczne

Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w funkcji 'beplus_import_pack_install_plugin' we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshale podszywające się pod wtyczki, co prowadzi do zdalnego wykonania kodu.

CVE-2025-54807
Krytyczne

Wrażliwość polega na tym, że klucz używany do walidacji tokenów uwierzytelniających jest zakodowany w oprogramowaniu urządzenia w dotkniętych wersjach. Atakujący, który zdobędzie ten klucz, może obejść proces uwierzytelniania, uzyskując pełny dostęp do systemu.

CVE-2025-30519
Krytyczne

Urządzenia Dover Fueling Solutions ProGauge MagLink LX4 mają domyślne dane logowania dla konta root, które nie mogą być zmienione za pomocą standardowych metod administracyjnych. Atakujący z dostępem do sieci urządzenia może uzyskać dostęp administracyjny do systemu.

CVE-2024-13151
Krytyczne

Podatność CVE-2024-13151 dotyczy oprogramowania Auto Service firmy ESBI Information and Telecommunication Industry and Trade Limited Company, które pozwala na wstrzyknięcie kodu SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach przed 2025.10.01.

CVE-2025-6237
Krytyczne

Podatność w wersji v6.0.0a1 i wcześniejszych invokeai umożliwia atakującym przeprowadzenie ataku typu path traversal oraz usunięcie dowolnych plików za pomocą punktu końcowego GET /api/v1/images/download/{bulk_download_item_name}. Manipulując argumentami nazwy pliku, atakujący mogą odczytać i usunąć dowolne pliki na serwerze, w tym krytyczne pliki systemowe.

CVE-2025-8942
Krytyczne

Wtyczka WP Hotel Booking dla WordPressa przed wersją 2.2.3 nie posiada odpowiedniej walidacji po stronie serwera dla ocen recenzji, co pozwala atakującemu na manipulację wartością oceny (np. wysyłanie wartości negatywnych lub poza zakresem) poprzez przechwytywanie i modyfikowanie żądań.

CVE-2025-5305
Krytyczne

Wtyczka WordPress Password Reset with Code dla API REST WordPressa w wersjach przed 0.0.17 nie wykorzystuje algorytmów kryptograficznych do generowania kodów OTP, co może prowadzić do przejęcia konta.

CVE-2025-58766
Krytyczne

W Dyad, lokalnej aplikacji do budowy AI, odkryto krytyczną podatność, która dotyczy wersji v0.19.0 i wcześniejszych. Umożliwia ona atakującym wykonanie dowolnego kodu na systemach użytkowników poprzez funkcjonalność okna podglądu aplikacji.

CVE-2025-8077
Krytyczne

W wersjach NeuVector do 5.4.5 istnieje podatność, w której stały ciąg jest używany jako domyślne hasło dla wbudowanego konta `admin`. Jeśli to hasło nie zostanie zmienione natychmiast po wdrożeniu, każdy workload z dostępem do sieci w klastrze może wykorzystać domyślne dane uwierzytelniające do uzyskania tokena uwierzytelniającego.

CVE-2025-10439
Krytyczne

W systemie automatyzacji bibliotek Yordam Informatics występuje podatność na SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji 21.5 i 21.6 przed 21.7.

CVE-2025-9972
Krytyczne

Niektóre modele bramek komórkowych przemysłowych opracowanych przez Planet Technology mają podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na urządzeniu.

CVE-2025-9971
Krytyczne

Niektóre modele bramek komórkowych przemysłowych opracowanych przez Planet Technology mają lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na manipulację urządzeniem za pomocą określonej funkcjonalności.

CVE-2025-54391
Krytyczne

Podatność w punkcie końcowym SOAP EnableTwoFactorAuthRequest w Zimbra Collaboration (ZCS) pozwala atakującemu z ważnymi danymi logowania na ominięcie ochrony dwuskładnikowego uwierzytelniania (2FA). Atakujący może skonfigurować dodatkową metodę 2FA bez konieczności przedstawienia ważnego tokena uwierzytelniającego.

CVE-2025-57631
KrytyczneEPSS 51%

Podatność SQL Injection w TDuckCloud w wersji 5.1 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez moduł dodawania plików.

PoprzedniaStrona 216 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS