Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-52395
Krytyczne

W API Roadcute w wersji 1 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Problem ten wynika z niewłaściwej walidacji tożsamości osoby żądającej w punkcie końcowym resetowania hasła.

CVE-2025-53251
Krytyczne

Podatność CVE-2025-53251 wtyczki Pin WP pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Pin WP od n/a do poniżej 7.2.

CVE-2025-8895
Krytyczne

Wtyczka WP Webhooks dla WordPressa jest podatna na kopiowanie dowolnych plików z powodu braku walidacji danych wejściowych dostarczanych przez użytkownika we wszystkich wersjach do 3.3.5 włącznie. Umożliwia to nieautoryzowanym atakującym kopiowanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-7390
Krytyczne

Złośliwy klient może obejść sprawdzanie zaufania certyfikatu klienta na serwerze opc.https, gdy punkt końcowy serwera jest skonfigurowany do zezwalania tylko na bezpieczną komunikację.

CVE-2025-43300
Krytyczne

Wykryto problem z zapisem poza dozwolonym zakresem, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w kilku wersjach systemów iOS, iPadOS oraz macOS. Przetwarzanie złośliwego pliku graficznego może prowadzić do uszkodzenia pamięci.

CVE-2025-27217
Krytyczne

W aplikacji UISP występuje podatność typu Server-Side Request Forgery (SSRF), która może umożliwić złośliwemu użytkownikowi z odpowiednimi uprawnieniami wykonywanie żądań poza zakresem aplikacji UISP.

CVE-2025-27214
Krytyczne

W UniFi Connect EV Station Pro występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która może umożliwić złośliwemu użytkownikowi z fizycznym lub sąsiednim dostępem przeprowadzenie nieautoryzowanego resetu fabrycznego.

CVE-2025-24285
Krytyczne

W UniFi Connect EV Station Lite występują liczne podatności związane z niewłaściwą walidacją danych wejściowych, które mogą umożliwić atak typu Command Injection osobie złośliwej mającej dostęp do sieci UniFi Connect EV Station Lite.

CVE-2024-57155
Krytyczne

Wersja radar v1.0.8 zawiera błędne zarządzanie dostępem, co pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.

CVE-2024-57154
Krytyczne

W dts-shop w wersji 0.0.1-SNAPSHOT występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia poprzez wysłanie spreparowanego ładunku do /admin/auth/index.

CVE-2024-50640
Krytyczne

W wersji 1.3 biblioteki jeewx-boot występuje podatność na obejście uwierzytelniania w funkcji preHandle. Ta luka może pozwolić atakującym na uzyskanie dostępu do chronionych zasobów bez odpowiednich uprawnień.

CVE-2024-57157
Krytyczne

W Jantent w wersji 1.1 występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.

CVE-2025-54726
Krytyczne

W podatności CVE-2025-54726 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce jquery-archive-list-widget. Problem dotyczy wersji JS Archive List od n/a do poniżej 6.1.6.

CVE-2025-54713
Krytyczne

Podatność CVE-2025-54713 dotyczy menedżera rezerwacji taksówek dla WooCommerce, który pozwala na obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.3.0 włącznie.

CVE-2025-54677
Krytyczne

Podatność CVE-2025-54677 dotyczy wtyczki vcita Online Booking & Scheduling Calendar dla WordPress, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.

CVE-2025-54049
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w miniOrange Custom API dla WP umożliwia eskalację uprawnień. Problem ten dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.

CVE-2025-54048
Krytyczne

W podatności CVE-2025-54048 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w miniOrange Custom API dla WP. Problem dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.

CVE-2025-54014
Krytyczne

Podatność CVE-2025-54014 dotyczy deserializacji niezaufanych danych w systemie MediCenter - Health Medical Clinic, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 15.1 włącznie.

CVE-2025-53580
Krytyczne

W podatności CVE-2025-53580 występuje nieprawidłowe przypisanie uprawnień w aplikacji Simple Business Directory Pro, co umożliwia eskalację uprawnień. Problem dotyczy wersji Simple Business Directory Pro od n/a do poniżej 15.6.9.

CVE-2025-53577
Krytyczne

W podatności CVE-2025-53577 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w systemie Global DNS w wersjach od n/a do 3.1.0. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na zainfekowanym systemie.

PoprzedniaStrona 230 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS