Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-48780
Krytyczne

Podatność CVE-2025-48780 dotyczy deserializacji niezaufanych danych w funkcji pobierania plików w systemie zarządzania zasobami ludzkimi Soar Cloud HRD do wersji 7.3.2025.0408. Umożliwia zdalnym atakującym wykonywanie dowolnych poleceń systemowych za pomocą spreparowanego obiektu zserializowanego.

CVE-2025-3365
Krytyczne

Brak ochrony przed atakami typu path traversal umożliwia dostęp do dowolnego pliku na serwerze.

CVE-2025-5486
Krytyczne

Wtyczka WP Email Debug dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji WPMDBUG_handle_settings() w wersjach od 1.0 do 1.1.0. Umożliwia to nieautoryzowanym atakującym włączenie debugowania i wysyłanie wszystkich e-maili na kontrolowany przez atakującego adres, a następnie wywołanie resetu hasła dla konta administratora.

CVE-2025-44148
KrytyczneEPSS 99%

Podatność Cross Site Scripting (XSS) w MailEnable przed wersją 10 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent failure.aspx.

CVE-2025-4517
Krytyczne

Podatność pozwala na dowolne zapisywanie plików w systemie plików poza katalogiem ekstrakcji podczas używania filtru 'data' w module tarfile. Dotyczy to sytuacji, gdy używasz funkcji TarFile.extractall() lub TarFile.extract() z parametrem filter ustawionym na 'data' lub 'tar'.

CVE-2025-4797
Krytyczne

Motyw Golo - City Travel Guide dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.7.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem ciasteczka autoryzacyjnego.

CVE-2025-49113
Krytyczne

Roundcube Webmail w wersjach przed 1.5.10 oraz 1.6.x przed 1.6.11 umożliwia zdalne wykonanie kodu przez uwierzytelnionych użytkowników. Problem wynika z braku walidacji parametru _from w URL w pliku program/actions/settings/upload.php, co prowadzi do deserializacji obiektów PHP.

CVE-2025-5408
Krytyczne

Wykryto krytyczną podatność w urządzeniach WAVLINK QUANTUM D2G, QUANTUM D3G, WL-WN530G3A, WL-WN530HG3, WL-WN532A3 oraz WL-WN576K1 do wersji V1410_240222. Problem dotyczy funkcji sys_login w pliku /cgi-bin/login.cgi, gdzie manipulacja argumentem login_page prowadzi do przepełnienia bufora.

CVE-2025-4631
Krytyczne

Wtyczka Profitori dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w punkcie końcowym stocktend_object w wersjach od 2.0.6.0 do 2.1.1.3. Umożliwia to nieautoryzowanym atakującym zapis dowolnych ciągów do pola meta wp_capabilities użytkownika, co może prowadzić do podniesienia uprawnień istniejącego konta użytkownika lub nowo utworzonego do poziomu administratora.

CVE-2025-4607
Krytyczne

Wtyczka PSW Front-end Login & Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.12 włącznie, poprzez funkcję customer_registration(). Problem wynika z użycia słabego mechanizmu OTP o niskiej entropii w funkcji forget().

CVE-2025-48757
Krytyczne

Polityka bezpieczeństwa na poziomie wiersza bazy danych w systemie Lovable do 2025-04-15 jest niewystarczająca, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt lub zapis do dowolnych tabel bazy danych generowanych witryn. Dostawca kwestionuje tę podatność, twierdząc, że każdy klient platformy Lovable ponosi odpowiedzialność za ochronę danych swojej aplikacji.

CVE-2025-44619
Krytyczne

Kontroler zamka WiFi Tinxy v1 RF został skonfigurowany do transmisji w otwartej sieci Wi-Fi, co umożliwia atakującym dołączenie do sieci bez uwierzytelnienia.

CVE-2020-36846
Krytyczne

W bibliotece Brotli występuje przepełnienie bufora, które może prowadzić do awarii aplikacji. Dotyczy to wersji IO::Compress::Brotli przed 0.007, gdzie atakujący może kontrolować długość wejścia w żądaniu dekompresji 'one-shot'.

CVE-2025-46352
Krytyczne

Panel przeciwpożarowy CS5000 jest podatny na atak z powodu twardo zakodowanego hasła, które działa na serwerze VNC i jest widoczne jako ciąg w binarnym pliku odpowiedzialnym za uruchamianie VNC. To hasło nie może być zmienione, co umożliwia każdemu, kto je zna, zdalny dostęp do panelu.

CVE-2025-41438
Krytyczne

Panel pożarowy CS5000 jest podatny z powodu domyślnego konta, które istnieje na panelu. Mimo że możliwe jest jego zmienienie poprzez SSH, pozostało ono niezmienione na wszystkich zainstalowanych systemach, które zaobserwowano.

CVE-2025-1907
Krytyczne

Instantel Micromate nie wymaga uwierzytelnienia na porcie konfiguracyjnym, co może umożliwić atakującemu wykonanie poleceń po podłączeniu się do urządzenia.

CVE-2025-30466
Krytyczne

Problem ten został rozwiązany poprzez poprawę zarządzania stanem. Podatność została naprawiona w Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 oraz visionOS 2.4. Istnieje możliwość, że strona internetowa może obejść politykę tej samej domeny.

CVE-2025-48336
Krytyczne

Podatność CVE-2025-48336 dotyczy deserializacji niezaufanych danych w wtyczce ThimPress Course Builder, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Course Builder od n/a do poniżej 3.6.6.

CVE-2025-3755
Krytyczne

Podatność w modułach CPU serii MELSEC iQ-F firmy Mitsubishi Electric polega na niewłaściwej walidacji określonego indeksu, pozycji lub przesunięcia w danych wejściowych. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu odczyt informacji z produktu oraz wywołanie stanu Denial-of-Service (DoS) w połączeniu MELSOFT lub zatrzymanie działania modułu CPU.

CVE-2025-45343
Krytyczne

W routerze Tenda W18E w wersji 2.0 z oprogramowaniem 16.01.0.11 wykryto podatność umożliwiającą zdalne wykonanie dowolnego kodu. Luka znajduje się w funkcji edycji konta w module goform/setmodules.

PoprzedniaStrona 240 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS