Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-54686
Krytyczne

Podatność CVE-2025-54686 dotyczy deserializacji niezaufanych danych w bibliotece scriptsbundle Exertio, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Exertio od n/a do 1.3.2 włącznie.

CVE-2025-54678
Krytyczne

Podatność CVE-2025-54678 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w Easy Form Builder w wersjach od n/a do 3.8.15.

CVE-2025-54669
Krytyczne

W podatności CVE-2025-54669 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji MapSVG. Problem dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

CVE-2025-52720
Krytyczne

W podatności CVE-2025-52720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem dotyczy wersji od n/a do 7.5 włącznie.

CVE-2025-49887
Krytyczne

W podatności CVE-2025-49887 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w WPFactory Product XML Feed Manager dla WooCommerce. Problem dotyczy wersji od n/a do 2.9.3 włącznie.

CVE-2025-49059
Krytyczne

W podatności CVE-2025-49059 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji od n/a do 1.5.20 włącznie.

CVE-2025-48293
Krytyczne

Podatność CVE-2025-48293 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem ten dotyczy wersji Geo Mashup od n/a do 1.13.16 włącznie.

CVE-2025-25174
Krytyczne

W podatności CVE-2025-25174 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku. Problem dotyczy rozszerzeń BeeTeam368 w wersjach od n/a do 1.9.4.

CVE-2025-24775
Krytyczne

Podatność CVE-2025-24775 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Made I.T. Forms, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Forms od n/a do 2.9.0 włącznie.

CVE-2025-8047
Krytyczne

Wtyczki WordPress 'disable-right-click-powered-by-pixterme' w wersji 1.2 oraz 'pixter-image-digital-license' w wersji 1.0 ładują skompromitowany plik JavaScript z porzuconego zasobnika S3. Plik ten może być użyty jako tylne drzwi przez osoby, które go kontrolują.

CVE-2025-55346
Krytyczne

Podatność CVE-2025-55346 pozwala na wykorzystanie kontrolowanego przez użytkownika wejścia do niebezpiecznej implementacji dynamicznego konstruktora funkcji. Umożliwia to atakującym sieciowym uruchomienie dowolnego kodu JavaScript bez piaskownicy w kontekście hosta, poprzez wysłanie prostego żądania POST.

CVE-2012-10060
Krytyczne

Wersje Sysax Multi Server przed 5.55 zawierają przepełnienie bufora na stosie w usłudze SSH. Zdalny atakujący może dostarczyć zbyt długą nazwę użytkownika podczas uwierzytelniania, co prowadzi do wykonania złośliwego kodu.

CVE-2025-43986
Krytyczne

Na urządzeniach KuWFi GC111 GC111-GL-LM321_V3.0_20191211 odkryto problem związany z usługą TELNET, która jest domyślnie włączona i dostępna przez interfejs WAN bez uwierzytelnienia.

CVE-2025-43982
Krytyczne

Urządzenia Shenzhen Tuoshi NR500-EA RG500UEAABxCOMSLICv3.4.2731.16.43 mają domyślnie włączoną usługę SSH. Istnieje ukryte, twardo zakodowane konto root, którego nie można wyłączyć w interfejsie graficznym.

CVE-2025-52385
Krytyczne

Wersje Studio 3T do 2025.1.0 zawierają lukę, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez spreparowany ładunek w module child_process.

CVE-2025-51451
Krytyczne

W oprogramowaniu sprzętowym TOTOLINK EX1200T w wersji 4.1.2cu.5215 wykryto podatność umożliwiającą ominięcie logowania poprzez wysłanie specjalnie spreparowanego żądania do formLoginAuth.htm.

CVE-2025-50594
Krytyczne

W systemie zarządzania szpitalem Danphe Health EMR w wersji 3.2 odkryto problem w pliku SecuritySettingsController.cs, który umożliwia atakującym zresetowanie hasła dowolnego konta.

CVE-2025-51452
Krytyczne

W oprogramowaniu TOTOLINK A7000R w wersji 9.1.0u.6115_B20201022 wykryto podatność umożliwiającą ominięcie logowania. Atakujący może wysłać specjalnie spreparowane żądanie do formLoginAuth.htm, aby uzyskać nieautoryzowany dostęp.

CVE-2025-50251
Krytyczne

W podatności CVE-2025-50251 występuje luka typu server side request forgery (SSRF) w wersji 0.23.1 aplikacji makeplane, która może być wykorzystana poprzez proces odzyskiwania hasła.

CVE-2025-8760
Krytyczne

Zidentyfikowano podatność w INSTAR 2K+ i 4K w wersji 3.11.1 Build 1124, która dotyczy funkcji base64_decode komponentu fcgi_server. Manipulacja argumentem Authorization prowadzi do przepełnienia bufora, co umożliwia zdalne przeprowadzenie ataku.

PoprzedniaStrona 233 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS