Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-34523
Krytyczne

W Arcserve Unified Data Protection (UDP) występuje podatność typu przepełnienie bufora w sterownikach obsługi wejścia, która może być wykorzystana przez zdalnego atakującego bez potrzeby uwierzytelnienia. Wysyłając specjalnie przygotowane dane, atakujący może uszkodzić pamięć sterty, co może prowadzić do odmowy usługi lub wykonania dowolnego kodu.

CVE-2025-34163
Krytyczne

Oprogramowanie Dongsheng Logistics wystawia nieautoryzowany punkt końcowy pod adresem /CommMng/Print/UploadMailFile, który nie wprowadza odpowiedniej walidacji typu pliku ani kontroli dostępu. Atakujący może przesyłać dowolne pliki, w tym skrypty wykonywalne, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2025-34162
Krytyczne

W systemie Bian Que Feijiu Intelligent Emergency and Quality Control występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym GetLyfsByParams. Problem wynika z niewłaściwego oczyszczania danych wejściowych w parametrze strOpid, co umożliwia atakującym wstrzykiwanie dowolnych poleceń SQL.

CVE-2025-41702
Krytyczne

Klucz tajny JWT jest osadzony w backendzie egOS WebGUI i jest dostępny dla domyślnego użytkownika. Nieautoryzowany atakujący zdalny może generować ważne tokeny HS256 i omijać uwierzytelnianie oraz autoryzację z powodu użycia zakodowanego klucza kryptograficznego.

CVE-2025-53120
Krytyczne

Podatność typu traversal w funkcjonalności przesyłania plików bez uwierzytelnienia pozwala złośliwemu użytkownikowi na przesyłanie binariów i skryptów do katalogów konfiguracyjnych oraz głównych katalogów serwera, co prowadzi do zdalnego wykonania kodu na serwerze Unified PAM.

CVE-2025-55575
Krytyczne

W podatności CVE-2025-55575 występuje luka typu SQL Injection w SMM Panel w wersji 3.1, która umożliwia zdalnym atakującym uzyskanie wrażliwych informacji poprzez odpowiednio skonstruowane żądanie HTTP z parametrem action=service_detail.

CVE-2025-53118
Krytyczne

Istnieje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu atakującemu na kontrolowanie funkcji kopii zapasowych administratora. Może to prowadzić do kompromitacji haseł, sekretów oraz tokenów sesji aplikacji przechowywanych przez Unified PAM.

CVE-2025-56214
Krytyczne

System zarządzania szpitalem phpGurukul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr 'username' w pliku index.php.

CVE-2025-56212
Krytyczne

System zarządzania szpitalem phpGuruKul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr docname w pliku add-doctor.php.

CVE-2025-5821
Krytyczne

Wtyczka Case Theme User dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcję facebook_ajax_login_callback().

CVE-2025-7642
Krytyczne

Wtyczka Simpler Checkout dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 0.7.0 do 1.1.9. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go jako administratora przez funkcję simplerwc_woocommerce_order_created().

CVE-2022-43110
Krytyczne

Voltronic Power ViewPower w wersjach do 1.04-21353 oraz PowerShield Netguard przed 1.04-23292 pozwala zdalnemu atakującemu na konfigurację systemu poprzez nieokreślony interfejs webowy. Atakujący bez uwierzytelnienia może wprowadzać zmiany w systemie, w tym zmieniać hasło administratora interfejsu webowego oraz przeglądać i zmieniać konfigurację systemu.

CVE-2022-31491
Krytyczne

Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.

CVE-2024-52786
Krytyczne

W podatności CVE-2024-52786 w anji-plus AJ-Report do wersji 1.4.2 występuje luka umożliwiająca ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu za pomocą spreparowanego URL.

CVE-2024-50645
Krytyczne

MallChat v1.0-SNAPSHOT posiada lukę w autoryzacji, która pozwala na ominięcie procesu uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-57105
KrytyczneEPSS 85%

Router DI-7400G+ zawiera podatność na wstrzykiwanie poleceń w funkcjach sub_478D28 i sub_4A12DC programu jhttpd, umożliwiającą atakującemu wykonanie dowolnych poleceń na urządzeniu poprzez parametr ac_mng_srv_host.

CVE-2025-55398
Krytyczne

W mouse07410 asn1c w wersjach do 0.9.29 odkryto problem związany z dekoderami generowanymi przez asn1c, które nie egzekwują ograniczeń dla typu INTEGER, gdy wartość jest dodatnia i przekracza 32 bity. Może to prowadzić do przetwarzania niepoprawnych lub złośliwych danych wejściowych.

CVE-2024-50644
Krytyczne

Wersja 3.0.1-SNAPSHOT bloga zhisheng17 zawiera podatność na obejście uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-29366
Krytyczne

W wersji 2.6.0 mupen64plus występuje podatność na przepełnienie tablicy w funkcjach write_rdram_regs, co umożliwia wykonanie dowolnych poleceń na maszynie gospodarza.

CVE-2025-3128
Krytyczne

Zdalny, nieautoryzowany atakujący, który zdołał obejść uwierzytelnienie, może wykonywać dowolne polecenia systemowe w urządzeniach Mitsubishi Electric smartRTU. To może prowadzić do ujawnienia, manipulacji, zniszczenia lub usunięcia informacji, a także do stanu odmowy usługi.

PoprzedniaStrona 226 z 565Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS