Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-49444
Krytyczne

Podatność CVE-2025-49444 dotyczy wtyczki Reformer dla Elementor, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2025-49330
Krytyczne

Podatność CVE-2025-49330 dotyczy deserializacji niezaufanych danych w integracji CRM Perks dla Contact Form 7 i Zoho CRM, Bigin, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji integracji od n/a do 1.3.0 włącznie.

CVE-2025-49071
Krytyczne

Podatność CVE-2025-49071 w motywie NasaTheme Flozen umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Flozen od n/a do poniżej 1.5.1.

CVE-2025-48274
Krytyczne

Podatność CVE-2025-48274 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Job Portal w wersjach od n/a do 2.3.2.

CVE-2025-47573
Krytyczne

W podatności CVE-2025-47573 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie zarządzania szkołą mojoomla. Problem dotyczy wersji od n/a do 92.0.0.

CVE-2025-47559
Krytyczne

Podatność CVE-2025-47559 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

CVE-2025-47452
Krytyczne

Podatność CVE-2025-47452 w wtyczce WP VR pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP VR od n/a do 8.5.26.

CVE-2025-39479
Krytyczne

Podatność CVE-2025-39479 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Smart Notification. Problem ten dotyczy wersji Smart Notification od n/a do 10.3.

CVE-2025-32510
Krytyczne

Podatność CVE-2025-32510 dotyczy Ovatheme Events Manager, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Wersje od n/a do 1.8.4 są narażone na wykorzystanie złośliwych plików.

CVE-2025-31919
Krytyczne

Podatność na deserializację nieufnych danych w themeton Spare umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Spare od n/a do 1.7.

CVE-2025-30618
Krytyczne

Podatność CVE-2025-30618 dotyczy deserializacji niezaufanych danych w rozszerzeniu Rapyd Payment dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji rozszerzenia od n/a do 1.2.0 włącznie.

CVE-2025-24773
Krytyczne

W podatności CVE-2025-24773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce mojoomla WPCRM dla formularza kontaktowego CF7 oraz WooCommerce. Problem dotyczy wersji WPCRM od n/a do 3.2.0 włącznie.

CVE-2025-4404
KrytyczneEPSS 76%

W projekcie FreeIPA odkryto podatność umożliwiającą eskalację uprawnień z hosta do domeny. Brak walidacji unikalności atrybutu `krbCanonicalName` dla konta administratora pozwala na utworzenie usługi o tej samej nazwie kanonicznej co admin REALM. Udany atak umożliwia uzyskanie biletu Kerberosa z poświadczeniami admin@REALM.

CVE-2025-49796
KrytyczneEPSS 70%

W bibliotece libxml2 wykryto podatność polegającą na uszkodzeniu pamięci podczas przetwarzania określonych elementów sch:name z pliku XML. Atakujący może stworzyć złośliwy plik XML, który doprowadzi do awarii libxml, powodując odmowę usługi lub inne nieprzewidziane zachowania z powodu uszkodzenia wrażliwych danych w pamięci.

CVE-2025-49794
Krytyczne

W bibliotece libxml2 odkryto podatność use-after-free podczas parsowania elementów XPath w określonych warunkach, gdy schemat XML zawiera elementy <sch:name path="..."/>. Błąd umożliwia atakującemu przygotowanie złośliwego dokumentu XML, który po przetworzeniu przez libxml może spowodować awarię programu lub inne nieprzewidziane zachowania.

CVE-2025-40916
Krytyczne

Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.

CVE-2025-6172
Krytyczne

W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.

CVE-2025-6169
Krytyczne

Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-6065
Krytyczne

Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-46060
KrytyczneEPSS 53%

W routerze TOTOLINK N600R w wersji oprogramowania 4.3.0cu.7866_B2022506 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent UPLOAD_FILENAME do wykonania dowolnego kodu.

PoprzedniaStrona 251 z 572Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS