Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2024-46484
KrytyczneEPSS 61%

W kamerze IP TRENDnet TV-IP410 w wersji oprogramowania vA1.0R wykryto podatność na wstrzykiwanie komend systemu operacyjnego. Luka występuje w komponencie /server/cgi-bin/testserv.cgi.

CVE-2025-8861
Krytyczne

TSA opracowane przez Changing ma lukę w autoryzacji, która pozwala nieautoryzowanym atakującym zdalnym na odczyt, modyfikację i usuwanie zawartości bazy danych.

CVE-2025-8857
Krytyczne

System obrazów klinicznych opracowany przez Changing zawiera twardo zakodowane dane uwierzytelniające, co pozwala nieautoryzowanym atakującym zdalnie zalogować się do systemu, używając danych administratora osadzonych w kodzie źródłowym.

CVE-2025-58059
Krytyczne

Valtimo to platforma do automatyzacji procesów biznesowych. W wersjach przed 12.16.0.RELEASE oraz od 13.0.0.RELEASE do przed 13.1.2.RELEASE, administratorzy mogą uzyskać dostęp do wrażliwych danych lub zasobów, co może prowadzić do uruchamiania programów na hoście aplikacji oraz przeglądania i wydobywania danych z środowiska hosta.

CVE-2025-58048
Krytyczne

Paymenter to darmowe i otwarte rozwiązanie sklepu internetowego dla hostingów. W wersjach przed 1.2.11 funkcjonalność załączników biletów pozwalała złośliwemu uwierzytelnionemu użytkownikowi na przesyłanie dowolnych plików, co mogło prowadzić do wycieku wrażliwych danych z bazy danych oraz uruchamiania dowolnych poleceń systemowych w kontekście użytkownika serwera WWW.

CVE-2025-57819
KrytyczneAktywnie exploitowaneEPSS 100%

FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.

CVE-2025-54738
Krytyczne

W podatności CVE-2025-54738 występuje możliwość ominięcia uwierzytelnienia w motywie NooTheme Jobmonster, co pozwala na nadużycie uwierzytelnienia. Problem ten dotyczy wersji Jobmonster od n/a do 4.7.9 włącznie.

CVE-2025-54725
Krytyczne

Podatność CVE-2025-54725 dotyczy systemu Golo, w którym możliwe jest obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach Golo od n/a do 1.7.0 włącznie.

CVE-2025-54720
Krytyczne

W podatności CVE-2025-54720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w dodatkach SteelThemes Nest Addons. Problem dotyczy wersji dodatków od n/a do 1.6.3 włącznie.

CVE-2025-52761
Krytyczne

Podatność CVE-2025-52761 dotyczy deserializacji niezaufanych danych w wtyczce WP Funnel Manager, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.0.

CVE-2025-49388
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce Miraculous Core Plugin pozwala na eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.7 włącznie.

CVE-2025-49387
Krytyczne

Podatność CVE-2025-49387 dotyczy wtyczki Drag and Drop File Upload for Elementor Forms, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2025-48100
Krytyczne

Podatność CVE-2025-48100 dotyczy niewłaściwej kontroli generowania kodu w integratorze bidorbuy Store, co pozwala na zdalne włączenie kodu. Problem ten występuje w wersjach od n/a do 2.12.0 włącznie.

CVE-2025-39496
Krytyczne

Podatność CVE-2025-39496 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WooBeWoo Product Filter Pro. Problem ten dotyczy wersji przed 2.9.6.

CVE-2025-54762
Krytyczne

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja Media: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-53970
Krytyczne

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja multimedialna: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-7955
Krytyczne

Wtyczka RingCentral Communications dla WordPressa jest podatna na obejście uwierzytelniania z powodu niewłaściwej walidacji w funkcji ringcentral_admin_login_2fa_verify() w wersjach od 1.5 do 1.6.8. Umożliwia to nieautoryzowanym atakującym logowanie się jako dowolny użytkownik, wystarczy podać identyczne fałszywe kody.

CVE-2025-34523
Krytyczne

W Arcserve Unified Data Protection (UDP) występuje podatność typu przepełnienie bufora w sterownikach obsługi wejścia, która może być wykorzystana przez zdalnego atakującego bez potrzeby uwierzytelnienia. Wysyłając specjalnie przygotowane dane, atakujący może uszkodzić pamięć sterty, co może prowadzić do odmowy usługi lub wykonania dowolnego kodu.

CVE-2025-34163
Krytyczne

Oprogramowanie Dongsheng Logistics wystawia nieautoryzowany punkt końcowy pod adresem /CommMng/Print/UploadMailFile, który nie wprowadza odpowiedniej walidacji typu pliku ani kontroli dostępu. Atakujący może przesyłać dowolne pliki, w tym skrypty wykonywalne, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2025-34162
Krytyczne

W systemie Bian Que Feijiu Intelligent Emergency and Quality Control występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym GetLyfsByParams. Problem wynika z niewłaściwego oczyszczania danych wejściowych w parametrze strOpid, co umożliwia atakującym wstrzykiwanie dowolnych poleceń SQL.

PoprzedniaStrona 228 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS