Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W przeglądarkach Firefox 141 i Thunderbird 141 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu przy odpowiednim wysiłku.
Atakujący mógł przeprowadzić korupcję pamięci w procesie GMP, który przetwarza zaszyfrowane media. Proces ten jest mocno izolowany, ale reprezentuje nieco inne uprawnienia niż proces zawartości.
Firefox na Androida pozwalał na rozpoczęcie pobierania z sandboxowanego iframe, który nie miał atrybutu `allow-downloads`. Ta podatność została naprawiona w wersji Firefox 141.
W przeglądarce Firefox na iOS występuje podatność, która pozwala złośliwym stronom na wykorzystanie FIDO do przesyłania linków do systemu operacyjnego i uruchamiania transportu hybrydowego klucza dostępu. Atakujący w zasięgu Bluetooth mógłby oszukać użytkownika, aby ten użył swojego klucza dostępu do zalogowania się na komputer atakującego.
Skaner QR w przeglądarce Firefox mógł umożliwić otwieranie dowolnych stron internetowych, jeśli użytkownik został oszukany i zeskanował złośliwy link wykorzystujący otwarty schemat URL. Ta podatność została naprawiona w wersji Firefox dla iOS 141.
Podatność CVE-2025-54143 dotyczy osadzonych iframe'ów na stronach internetowych, które mogą potencjalnie umożliwiać pobieranie plików na urządzenie, omijając oczekiwane ograniczenia sandboxa zadeklarowane na stronie nadrzędnej. Problem ten został naprawiony w przeglądarce Firefox dla iOS w wersji 141.
W Cicool builder 3.4.4 odkryto lukę, która umożliwia atakującym zresetowanie hasła administratora za pomocą endpointu /administrator/auth/reset_password.
W platformie handlowej GenX_FX zidentyfikowano podatność w backendzie, która może prowadzić do ujawnienia kluczy API i tokenów uwierzytelniających w przypadku niewłaściwej konfiguracji zmiennych środowiskowych. To może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów chmurowych.
W AllSky w wersjach od 2023.05.01 do 2024.12.06_06 występuje podatność typu Path Traversal, która pozwala nieautoryzowanemu atakującemu na stworzenie webshella oraz zdalne wykonanie kodu poprzez parametr path w pliku /includes/save_file.php.
Podatność w screenshot-desktop umożliwia wykonanie zrzutu ekranu lokalnej maszyny, jednak występuje problem z wstrzykiwaniem poleceń. Wprowadzone przez użytkownika dane w opcji formatu funkcji zrzutu ekranu są interpolowane do polecenia powłoki bez odpowiedniego oczyszczenia, co prowadzi do wykonania dowolnych poleceń z uprawnieniami procesu wywołującego.
W Plesk Obsidian 18.0.70 funkcja _isAdminPasswordValid używa porównania ==. W związku z tym, jeśli poprawne hasło to '0e' zakończone dowolnym ciągiem cyfr, atakujący może zalogować się przy użyciu innego ciągu, który ocenia się jako 0.0 (np. ciąg 0e0). Problem ten występuje w pliku admin/plib/LoginManager.php.
Saurus CMS Community Edition 4.7.1 zawiera podatność w funkcji DB::prepare(), która używa preg_replace() z przestarzałym modyfikatorem /e (eval) do interpolacji parametrów zapytań SQL. Umożliwia to wstrzyknięcie kontrolowanych przez użytkownika instrukcji SQL, co może prowadzić do wykonania dowolnego kodu PHP.
Wtyczka Cloudflare Image Resizing dla WordPressa jest podatna na zdalne wykonanie kodu z powodu braku uwierzytelnienia oraz niewystarczającego oczyszczania w metodzie hook_rest_pre_dispatch(). Dotyczy to wszystkich wersji do i włącznie z 1.5.6.
Motyw Real Spaces - WordPress Properties Directory Theme dla WordPress jest podatny na eskalację uprawnień poprzez funkcję 'imic_agent_register' we wszystkich wersjach do 3.6 włącznie. Problem wynika z braku ograniczeń w roli rejestracji użytkownika.
VaulTLS to nowoczesne rozwiązanie do zarządzania certyfikatami mTLS (wzajemne TLS). W wersjach przed 0.9.1, konta użytkowników utworzone przez interfejs webowy miały ustawione puste, ale nie NULL hasło, co pozwalało atakującym na logowanie się bez hasła.
Podatność w Capsule v0.10.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na injectowanie dowolnych etykiet do systemowych przestrzeni nazw (kube-system, default, capsule-system), co narusza izolację wielo-tenantową. To umożliwia eskalację uprawnień i łamie podstawowe granice bezpieczeństwa, które Capsule ma na celu egzekwować.
W usłudze vowifi występuje możliwa podatność na wstrzykiwanie poleceń z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do zdalnego eskalowania uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
Wtyczka Taxi Booking Manager dla Woocommerce | E-cab w WordPressie jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.3.0. Problem wynika z braku odpowiedniej walidacji uprawnień użytkownika przed aktualizacją ustawień wtyczki lub danych osobowych, takich jak adres e-mail.
Wtyczka StoryChief dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.0.42 włącznie. Podatność ta występuje przez punkt końcowy REST-API /wp-json/storychief/webhook, który nie ma wystarczającej walidacji typów plików.
W aplikacji MSoft MFlash odkryto podatność, która umożliwia wykonanie dowolnego kodu na serwerze. Problem występuje w funkcjonalności konfiguracji integracji dostępnej tylko dla administratorów MFlash.

