Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-52836
Krytyczne

W podatności CVE-2025-52836 występuje błędne przypisanie uprawnień w systemie E-Commerce ERP firmy Unity Business Technology Pty Ltd, co umożliwia eskalację uprawnień. Problem dotyczy wersji E-Commerce ERP od n/a do 2.1.1.3 włącznie.

CVE-2025-52714
Krytyczne

W podatności CVE-2025-52714 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem dotyczy wersji Traveler od n/a do poniżej 3.2.2.

CVE-2025-48300
Krytyczne

Podatność CVE-2025-48300 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Groundhogg, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Groundhogg od n/a do 4.2.1.

CVE-2025-30973
Krytyczne

Podatność na deserializację niezaufanych danych w systemie CoSchool LMS firmy Codexpert, Inc. umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CoSchool LMS od n/a do 1.4.3 włącznie.

CVE-2025-30949
Krytyczne

Podatność CVE-2025-30949 dotyczy deserializacji niezaufanych danych w aplikacji Guru Team Site Chat na platformie Telegram, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Site Chat na Telegram od n/a do 1.0.4 włącznie.

CVE-2025-30936
Krytyczne

W podatności CVE-2025-30936 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Torod. Problem ten dotyczy wersji Torod od n/a do 2.1 włącznie.

CVE-2025-29009
Krytyczne

Podatność CVE-2025-29009 dotyczy wtyczki Webkul Medical Prescription Attachment dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2025-28982
Krytyczne

W podatności CVE-2025-28982 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce ThimPress WP Pipes. Problem dotyczy wersji WP Pipes od n/a do 1.4.3.

CVE-2025-28961
Krytyczne

Podatność CVE-2025-28961 dotyczy deserializacji niezaufanych danych w URL Shortener autorstwa Md Yeasin Ul Haider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji URL Shortener od n/a do 3.0.7 włącznie.

CVE-2025-28959
Krytyczne

W podatności CVE-2025-28959 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w narzędziu Md Yeasin Ul Haider URL Shortener. Problem ten dotyczy wersji URL Shortener od n/a do 3.0.7 włącznie.

CVE-2025-24759
Krytyczne

Wtyczka WP-BusinessDirectory w CMSJunkie dla WordPressa zawiera podatność na SQL Injection, która umożliwia przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.4.

CVE-2025-54010
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w Shahjahan Jewel FluentSnippets easy-code-manager umożliwia przeprowadzenie ataku CSRF. Problem ten dotyczy wersji FluentSnippets od n/a do 10.50 włącznie.

CVE-2024-9342
Krytyczne

W wersjach Eclipse GlassFish przed 8.0.3 istnieje możliwość przeprowadzenia ataków typu brute force na logowanie, ponieważ nie ma ograniczeń dotyczących liczby nieudanych prób logowania.

CVE-2025-52689
Krytyczne

Podatność CVE-2025-52689 umożliwia nieautoryzowanemu atakującemu uzyskanie ważnego identyfikatora sesji z uprawnieniami administratora poprzez sfałszowanie żądania logowania. To może pozwolić atakującemu na modyfikację zachowania punktu dostępowego.

CVE-2025-52688
Krytyczne

Wykorzystanie tej podatności może umożliwić atakującemu wstrzykiwanie poleceń z uprawnieniami roota na punkcie dostępowym, co może prowadzić do utraty poufności, integralności, dostępności oraz pełnej kontroli nad punktem dostępowym.

CVE-2025-41238
Krytyczne

VMware ESXi, Workstation i Fusion zawierają podatność typu heap-overflow w kontrolerze PVSCSI (Parawirtualizowany SCSI), co prowadzi do zapisu poza przydzielonym obszarem pamięci. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać tę lukę do wykonania kodu jako proces VMX maszyny wirtualnej działającej na hoście.

CVE-2025-41237
Krytyczne

VMware ESXi, Workstation i Fusion zawierają błąd przepełnienia całkowitego w VMCI (Interfejs Komunikacji Maszyn Wirtualnych), który prowadzi do zapisu poza przydzielonym obszarem pamięci. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten problem do wykonania kodu jako proces VMX maszyny wirtualnej działającej na hoście.

CVE-2025-41236
Krytyczne

VMware ESXi, Workstation i Fusion zawierają podatność na przepełnienie całkowitej liczby w wirtualnym adapterze sieciowym VMXNET3. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej z adapterem VMXNET3 może wykorzystać tę lukę do wykonania kodu na hoście.

CVE-2025-52376
Krytyczne

Wykryto lukę w autoryzacji w punkcie końcowym /web/um_open_telnet.cgi w oprogramowaniu układowym routera Nexxt Solutions NCM-X1800 w wersji UV1.2.7 i niższej, która pozwala atakującemu na zdalne włączenie usługi Telnet bez autoryzacji, omijając zabezpieczenia. Serwer Telnet jest dostępny z twardo zakodowanymi poświadczeniami, co umożliwia atakującym uzyskanie dostępu do powłoki administracyjnej i wykonywanie dowolnych poleceń na urządzeniu.

CVE-2025-3621
Krytyczne

W produkcie serwera lokalnego ActADUR, opracowanym i utrzymywanym przez ProTNS, występują podatności umożliwiające zdalne wstrzykiwanie kodu na systemach gospodarzy. Kluczowe problemy to niewłaściwe neutralizowanie specjalnych elementów w poleceniach, użycie twardo zakodowanych poświadczeń, niewłaściwa autoryzacja oraz wiązanie do nieograniczonego adresu IP.

PoprzedniaStrona 234 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS