Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.
W RICOH Streamline NX V3 PC Client w wersjach od 3.5.0 do 3.242.0 występuje podatność na przejście ścieżki. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na komputerze, na którym działa produkt, poprzez manipulację określonymi plikami używanymi przez produkt.
Wtyczka REST API | Custom API Generator For Cross Platform And Import Export w WordPressie jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji process_handler(). Atakujący bez uwierzytelnienia mogą wysłać dowolny URL import_api oraz zaimportować specjalnie przygotowany JSON, co pozwala na utworzenie nowego użytkownika z pełnymi uprawnieniami Administratora.
Biblioteka Archive::Unzip::Burst w wersjach od 0.01 do 0.09 dla Perla zawiera zintegrowaną bibliotekę InfoZip, która jest podatna na kilka luk w zabezpieczeniach.
CryptX dla Perla przed wersją 0.065 zawiera zależność, która może być podatna na źle sformatowany unicode. Biblioteka tomcrypt, osadzona w CryptX, w wersjach przed 0.065 może być podatna na CVE-2019-17362.
Perl CryptX przed wersją 0.087 zawiera zależność, która może być podatna na przepełnienie całkowite. Biblioteka CryptX osadza wersję biblioteki libtommath, która jest podatna na przepełnienie całkowite związane z CVE-2023-36328.
W M365 Copilot występuje podatność na wstrzyknięcie poleceń AI, która umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.
W `OrderedHashTable` używanym przez silnik JavaScript wystąpił przepełnienie całkowitej liczby całkowitej. Ta podatność została naprawiona w Firefoxie 139.0.4.
Niektóre operacje na kanwie mogły prowadzić do uszkodzenia pamięci. Ta podatność została naprawiona w wersji Firefox 139.0.4.
W API zarządzania u-link, nieautoryzowany atakujący w pozycji man-in-the-middle może wstrzykiwać dowolne polecenia w odpowiedziach zwracanych przez serwery WWH, które są następnie wykonywane z podwyższonymi uprawnieniami. Aby uzyskać taką pozycję, klienci muszą korzystać z niebezpiecznych konfiguracji proxy.
Zidentyfikowano podatność w Energy Services (wszystkie wersje z G5DFR), która polega na obecności domyślnych danych uwierzytelniających. Może to umożliwić atakującemu przejęcie kontroli nad komponentem G5DFR i manipulację jego wyjściami.
Podatność CVE-2025-49507 dotyczy deserializacji niezaufanych danych w aplikacji LoftOcean CozyStay, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CozyStay od n/a do poniżej 1.7.1.
W podatności CVE-2025-49455 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce ClickandPledge WordPress-WPJobBoard. Problem dotyczy wersji WordPress-WPJobBoard od n/a do 25.07010000-WP6.8.1-JB5.11.5.
Podatność związana z niewłaściwym zachowaniem uprawnień w Salesforce OmniStudio (FlexCards) umożliwia obejście kontroli bezpieczeństwa na poziomie pól dla obiektów Salesforce. Problem ten dotyczy OmniStudio przed wiosną 2025 roku.
Przetwarzanie przychodzące RFC nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień. W przypadku pomyślnego wykorzystania podatności, atakujący może krytycznie wpłynąć na integralność i dostępność aplikacji.
Brak uwierzytelnienia w funkcji rejestracji Lablup's BackendAI pozwala dowolnym użytkownikom na tworzenie kont użytkowników, które mogą uzyskiwać dostęp do prywatnych danych, nawet gdy rejestracja jest wyłączona.
Podatność CVE-2025-48281 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji MyStyle Custom Product Designer w wersjach od n/a do 3.21.1.
W podatności CVE-2025-48141 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Multi CryptoCurrency Payments. Problem dotyczy wersji od n/a do 2.0.7.
Podatność CVE-2025-48140 dotyczy MetalpriceAPI i polega na niewłaściwej kontroli generowania kodu, co umożliwia atak typu 'Code Injection'. Problem ten występuje w wersjach od n/a do 1.1.4 włącznie.
W podatności CVE-2025-48129 występuje nieprawidłowe przypisanie uprawnień w narzędziu Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.4.37 włącznie.

