Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Wiele modeli routerów bezprzewodowych firmy Sapido ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu i zdobyć hasła administratora w postaci niezaszyfrowanej.
Wiele modeli routerów bezprzewodowych od Sapido posiada podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonanie na serwerze. Affected models są już poza wsparciem.
Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.
Podatność w NCR Terminal Handler v.1.5.1 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez spreparowane żądanie POST do komponentów SOAP API: grantRolesToUsers, grantRolesToGroups i grantRolesToOrganization.
Standardowi użytkownicy systemu Windows mają dostęp do pliku konfiguracyjnego aplikacji BRAIN2, który służy do uzyskiwania dostępu do bazy danych, i mogą go odszyfrować.
Na kliencie z użytkownikiem niebędącym administratorem, skrypt może zostać zintegrowany z raportem. Raporty te mogą być później wykonywane na serwerze BRAIN2 z uprawnieniami administratora.
W wersji Innoshop do 0.4.1, uwierzytelniony atakujący może wykorzystać funkcje Menedżera Plików w panelu administracyjnym do wykonania kodu na serwerze, przesyłając spreparowany plik i zmieniając jego nazwę na .php. Obejście początkowej weryfikacji, która sprawdza, czy przesyłane pliki są plikami graficznymi, jest możliwe dzięki użyciu narzędzi proxy.
W aplikacji Xiaomi Mi Connect Service występuje podatność na nieautoryzowany dostęp. Problem wynika z błędnej logiki walidacji, co umożliwia atakującym uzyskanie nieautoryzowanego dostępu do urządzenia ofiary.
Pterodactyl to darmowy, otwartoźródłowy panel zarządzania serwerami gier. Przed wersją 1.11.11, wykorzystując /locales/locale.json z parametrami zapytania locale i namespace, złośliwy aktor mógł wykonać dowolny kod bez uwierzytelnienia.
W routerach H3C ER2200G2, ERG2-450W, ERG2-1200W, ERG2-1350W, NR1200W oraz innych wymienionych serii przed określonymi wersjami oprogramowania występują liczne podatności na zdalne wykonanie nieautoryzowanych poleceń. Atakujący mogą obejść uwierzytelnianie, wprowadzając specjalnie skonstruowany tekst w URL lub nagłówku wiadomości, co pozwala na wstrzyknięcie złośliwych poleceń i uzyskanie najwyższych uprawnień ROOT na zdalnych urządzeniach.
W podatności CVE-2025-4738 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Yirmibes MY ERP w wersjach przed 1.170.
Biblioteka pgai w Pythonie, służąca do przekształcania PostgreSQL w silnik wyszukiwania dla aplikacji RAG i Agentic, była podatna na atak umożliwiający wyciek wszystkich sekretów używanych w jednym przepływie pracy. W szczególności, GITHUB_TOKEN z uprawnieniami do zapisu w repozytorium, co pozwalało atakującemu na manipulację wszystkimi aspektami repozytorium.
Oprogramowanie Versa Director domyślnie udostępnia szereg usług, co stwarza łatwe możliwości ataku z powodu domyślnych danych logowania oraz wielu kont (większość z dostępem sudo), które wykorzystują te same domyślne dane. Usługi takie jak ssh i postgres są domyślnie wystawione na internet.
Platforma orkiestracji SD-WAN Versa Director, korzystająca z usługi aplikacyjnej Cisco NCS, ma podatność, która pozwala atakującemu na dostęp do usługi NCS na porcie 4566. Wersje dotknięte tą podatnością są związane z portami 4566 i 4570 na wszystkich interfejsach, co umożliwia nieautoryzowane działania administracyjne oraz zdalne wykonanie kodu.
W systemie EfroTech Time Trax w wersji 1.0 wykryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję załączania plików w formularzu wniosku urlopowego.
W wersjach KCM3100 Ver1.4.2 i wcześniejszych występuje podatność na obejście uwierzytelniania. W przypadku wykorzystania tej podatności, atakujący może ominąć proces uwierzytelniania produktu z poziomu sieci LAN, do której produkt jest podłączony.
Teleport, który zapewnia łączność, uwierzytelnianie, kontrolę dostępu i audyt dla infrastruktury, ma w wersjach Community Edition przed i w tym samym czasie co 17.5.1 podatność na zdalne obejście uwierzytelniania. W momencie publikacji nie ma dostępnej poprawki open-source.
W podatności CVE-2025-49452 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji PostaPanduri. Problem dotyczy wersji od n/a do 2.1.3.
Podatność CVE-2025-49447 w FW Food Menu od Fastw3b LLC pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji od n/a do 6.0.0.
Podatność CVE-2025-49444 dotyczy wtyczki Reformer dla Elementor, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

