Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W podatności CVE-2025-52720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem dotyczy wersji od n/a do 7.5 włącznie.
W podatności CVE-2025-49887 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w WPFactory Product XML Feed Manager dla WooCommerce. Problem dotyczy wersji od n/a do 2.9.3 włącznie.
W podatności CVE-2025-49059 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji od n/a do 1.5.20 włącznie.
Podatność CVE-2025-48293 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem ten dotyczy wersji Geo Mashup od n/a do 1.13.16 włącznie.
W podatności CVE-2025-25174 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku. Problem dotyczy rozszerzeń BeeTeam368 w wersjach od n/a do 1.9.4.
Podatność CVE-2025-24775 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Made I.T. Forms, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Forms od n/a do 2.9.0 włącznie.
Wtyczki WordPress 'disable-right-click-powered-by-pixterme' w wersji 1.2 oraz 'pixter-image-digital-license' w wersji 1.0 ładują skompromitowany plik JavaScript z porzuconego zasobnika S3. Plik ten może być użyty jako tylne drzwi przez osoby, które go kontrolują.
Podatność CVE-2025-55346 pozwala na wykorzystanie kontrolowanego przez użytkownika wejścia do niebezpiecznej implementacji dynamicznego konstruktora funkcji. Umożliwia to atakującym sieciowym uruchomienie dowolnego kodu JavaScript bez piaskownicy w kontekście hosta, poprzez wysłanie prostego żądania POST.
Wersje Sysax Multi Server przed 5.55 zawierają przepełnienie bufora na stosie w usłudze SSH. Zdalny atakujący może dostarczyć zbyt długą nazwę użytkownika podczas uwierzytelniania, co prowadzi do wykonania złośliwego kodu.
Na urządzeniach KuWFi GC111 GC111-GL-LM321_V3.0_20191211 odkryto problem związany z usługą TELNET, która jest domyślnie włączona i dostępna przez interfejs WAN bez uwierzytelnienia.
Urządzenia Shenzhen Tuoshi NR500-EA RG500UEAABxCOMSLICv3.4.2731.16.43 mają domyślnie włączoną usługę SSH. Istnieje ukryte, twardo zakodowane konto root, którego nie można wyłączyć w interfejsie graficznym.
Wersje Studio 3T do 2025.1.0 zawierają lukę, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez spreparowany ładunek w module child_process.
W oprogramowaniu sprzętowym TOTOLINK EX1200T w wersji 4.1.2cu.5215 wykryto podatność umożliwiającą ominięcie logowania poprzez wysłanie specjalnie spreparowanego żądania do formLoginAuth.htm.
W systemie zarządzania szpitalem Danphe Health EMR w wersji 3.2 odkryto problem w pliku SecuritySettingsController.cs, który umożliwia atakującym zresetowanie hasła dowolnego konta.
W oprogramowaniu TOTOLINK A7000R w wersji 9.1.0u.6115_B20201022 wykryto podatność umożliwiającą ominięcie logowania. Atakujący może wysłać specjalnie spreparowane żądanie do formLoginAuth.htm, aby uzyskać nieautoryzowany dostęp.
W podatności CVE-2025-50251 występuje luka typu server side request forgery (SSRF) w wersji 0.23.1 aplikacji makeplane, która może być wykorzystana poprzez proces odzyskiwania hasła.
Zidentyfikowano podatność w INSTAR 2K+ i 4K w wersji 3.11.1 Build 1124, która dotyczy funkcji base64_decode komponentu fcgi_server. Manipulacja argumentem Authorization prowadzi do przepełnienia bufora, co umożliwia zdalne przeprowadzenie ataku.
Wtyczka LatePoint dla WordPressa w wersjach przed 5.1.94 jest podatna na atak typu Local File Inclusion poprzez parametr layout. Umożliwia to atakującym dołączenie i wykonanie plików PHP na serwerze, co pozwala na uruchomienie dowolnego kodu PHP w tych plikach.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.3 poprzez deserializację nieufnych danych wejściowych w funkcji get_lead_detail. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
Przepełnienie bufora oparte na stercie w Windows GDI+ umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

