Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-10183
Krytyczne

W usłudze internetowej OpenMessaging w TecCom TecConnect 4.1 występuje podatność na ślepą iniekcję XML External Entity (XXE), która pozwala nieautoryzowanemu atakującemu na wykradanie dowolnych plików na serwer kontrolowany przez atakującego. TecConnect 4.1 uznawany jest za produkt, którego wsparcie zakończyło się w grudniu 2023 roku.

CVE-2025-9994
Krytyczne

Interfejs administracyjny HTTP punktu dostępowego Bluetooth Amp’ed RF BT-AP 111 nie posiada funkcji uwierzytelniania, co umożliwia nieautoryzowany dostęp każdemu, kto ma dostęp do sieci.

CVE-2025-54236
Krytyczne

Wersje Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych. Atakujący może wykorzystać tę lukę do przejęcia sesji, co znacząco wpływa na poufność i integralność danych.

CVE-2025-40804
Krytyczne

Zidentyfikowano podatność w SIMATIC Virtualization as a Service (SIVaaS) we wszystkich wersjach. Aplikacja narażona jest na udostępnienie zasobu sieciowego bez jakiejkolwiek autoryzacji.

CVE-2025-40795
KrytyczneEPSS 59%

Zidentyfikowano podatność w SIMATIC PCS neo w wersjach 4.1, 5.0 oraz 6.0 (wszystkie wersje poniżej V6.0 SP1 Update 1) oraz w komponencie zarządzania użytkownikami (UMC) (wszystkie wersje poniżej V2.15.1.3). Podatność ta polega na przepełnieniu bufora na stosie w zintegrowanym komponencie UMC, co może umożliwić nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu lub spowodowanie stanu odmowy usługi.

CVE-2025-10134
Krytyczne

Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-42958
Krytyczne

W aplikacji SAP NetWeaver na platformie IBM i-series występuje brak weryfikacji uwierzytelnienia, co pozwala nieautoryzowanym użytkownikom z wysokimi uprawnieniami na odczyt, modyfikację lub usunięcie wrażliwych informacji oraz dostęp do funkcji administracyjnych. To prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42944
Krytyczne

W wyniku podatności na deserializację w SAP NetWeaver, nieautoryzowany atakujący mógłby wykorzystać system poprzez moduł RMI-P4, przesyłając złośliwy ładunek do otwartego portu. Deserializacja takich nieufnych obiektów Java może prowadzić do wykonania dowolnych poleceń systemowych.

CVE-2025-42922
Krytyczne

SAP NetWeaver AS Java umożliwia atakującemu, który jest uwierzytelniony jako użytkownik niebędący administratorem, wykorzystanie luki w dostępnej usłudze do przesłania dowolnego pliku. Wykonanie tego pliku może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu.

CVE-2025-58746
Krytyczne

Panel Business Links od Volkov Labs dla Grafana umożliwia nawigację za pomocą linków zewnętrznych, wewnętrznych pulpitów nawigacyjnych, selektorów czasu i menu rozwijanych. Przed wersją 2.4.0, złośliwy użytkownik z uprawnieniami Edytora mógł podnieść swoje uprawnienia do Administratora i wykonywać dowolne działania administracyjne dzięki możliwości wstrzykiwania dowolnego kodu JavaScript w polu [Layout] → [Link] → [URL].

CVE-2025-9114
Krytyczne

Motyw Doccure dla WordPressa jest podatny na nieautoryzowaną zmianę hasła użytkownika w wersjach do 1.5.0 włącznie. Problem wynika z udostępnienia przez wtyczkę dostępu do obiektów kontrolowanego przez użytkownika, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

CVE-2025-9113
Krytyczne

Wtyczka Doccure Core dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'doccure_temp_upload_to_media' we wszystkich wersjach do i włącznie z 1.5.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-52161
Krytyczne

W systemie Weblication CMS Core firmy Scholl Communications AG w wersji v019.004.000.000 wykryto podatność na atak typu cross-site scripting (XSS). Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript do stron generowanych przez CMS.

CVE-2025-22956
Krytyczne

OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.

CVE-2025-8359
Krytyczne

Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.9. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed jego uwierzytelnieniem.

CVE-2025-58628
Krytyczne

W podatności CVE-2025-58628 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection. Problem dotyczy wersji Miraculous od n/a do poniżej 2.0.9.

CVE-2025-49401
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce smart SEO od axiomthemes umożliwia eskalację uprawnień. Problem dotyczy wersji smart SEO od n/a do 4.0 włącznie.

CVE-2025-58819
Krytyczne

Podatność CVE-2025-58819 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-55037
Krytyczne

W wersjach TkEasyGUI przed v1.0.22 występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na 'OS Command Injection'. W przypadku wykorzystania tej podatności, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe, jeśli ustawienia są skonfigurowane do tworzenia wiadomości z zewnętrznych źródeł.

CVE-2025-58361
Krytyczne

Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.

PoprzedniaStrona 219 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS