Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-29902
Krytyczne

Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.

CVE-2025-46783
Krytyczne

W RICOH Streamline NX V3 PC Client w wersjach od 3.5.0 do 3.242.0 występuje podatność na przejście ścieżki. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na komputerze, na którym działa produkt, poprzez manipulację określonymi plikami używanymi przez produkt.

CVE-2025-5288
Krytyczne

Wtyczka REST API | Custom API Generator For Cross Platform And Import Export w WordPressie jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji process_handler(). Atakujący bez uwierzytelnienia mogą wysłać dowolny URL import_api oraz zaimportować specjalnie przygotowany JSON, co pozwala na utworzenie nowego użytkownika z pełnymi uprawnieniami Administratora.

CVE-2022-4976
Krytyczne

Biblioteka Archive::Unzip::Burst w wersjach od 0.01 do 0.09 dla Perla zawiera zintegrowaną bibliotekę InfoZip, która jest podatna na kilka luk w zabezpieczeniach.

CVE-2025-40912
Krytyczne

CryptX dla Perla przed wersją 0.065 zawiera zależność, która może być podatna na źle sformatowany unicode. Biblioteka tomcrypt, osadzona w CryptX, w wersjach przed 0.065 może być podatna na CVE-2019-17362.

CVE-2025-40914
Krytyczne

Perl CryptX przed wersją 0.087 zawiera zależność, która może być podatna na przepełnienie całkowite. Biblioteka CryptX osadza wersję biblioteki libtommath, która jest podatna na przepełnienie całkowite związane z CVE-2023-36328.

CVE-2025-32711
Krytyczne

W M365 Copilot występuje podatność na wstrzyknięcie poleceń AI, która umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2025-49710
Krytyczne

W `OrderedHashTable` używanym przez silnik JavaScript wystąpił przepełnienie całkowitej liczby całkowitej. Ta podatność została naprawiona w Firefoxie 139.0.4.

CVE-2025-49709
Krytyczne

Niektóre operacje na kanwie mogły prowadzić do uszkodzenia pamięci. Ta podatność została naprawiona w wersji Firefox 139.0.4.

CVE-2025-41663
Krytyczne

W API zarządzania u-link, nieautoryzowany atakujący w pozycji man-in-the-middle może wstrzykiwać dowolne polecenia w odpowiedziach zwracanych przez serwery WWH, które są następnie wykonywane z podwyższonymi uprawnieniami. Aby uzyskać taką pozycję, klienci muszą korzystać z niebezpiecznych konfiguracji proxy.

CVE-2025-40585
Krytyczne

Zidentyfikowano podatność w Energy Services (wszystkie wersje z G5DFR), która polega na obecności domyślnych danych uwierzytelniających. Może to umożliwić atakującemu przejęcie kontroli nad komponentem G5DFR i manipulację jego wyjściami.

CVE-2025-49507
Krytyczne

Podatność CVE-2025-49507 dotyczy deserializacji niezaufanych danych w aplikacji LoftOcean CozyStay, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CozyStay od n/a do poniżej 1.7.1.

CVE-2025-49455
Krytyczne

W podatności CVE-2025-49455 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce ClickandPledge WordPress-WPJobBoard. Problem dotyczy wersji WordPress-WPJobBoard od n/a do 25.07010000-WP6.8.1-JB5.11.5.

CVE-2025-43698
Krytyczne

Podatność związana z niewłaściwym zachowaniem uprawnień w Salesforce OmniStudio (FlexCards) umożliwia obejście kontroli bezpieczeństwa na poziomie pól dla obiektów Salesforce. Problem ten dotyczy OmniStudio przed wiosną 2025 roku.

CVE-2025-42989
Krytyczne

Przetwarzanie przychodzące RFC nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień. W przypadku pomyślnego wykorzystania podatności, atakujący może krytycznie wpłynąć na integralność i dostępność aplikacji.

CVE-2025-49652
Krytyczne

Brak uwierzytelnienia w funkcji rejestracji Lablup's BackendAI pozwala dowolnym użytkownikom na tworzenie kont użytkowników, które mogą uzyskiwać dostęp do prywatnych danych, nawet gdy rejestracja jest wyłączona.

CVE-2025-48281
Krytyczne

Podatność CVE-2025-48281 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji MyStyle Custom Product Designer w wersjach od n/a do 3.21.1.

CVE-2025-48141
Krytyczne

W podatności CVE-2025-48141 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Multi CryptoCurrency Payments. Problem dotyczy wersji od n/a do 2.0.7.

CVE-2025-48140
Krytyczne

Podatność CVE-2025-48140 dotyczy MetalpriceAPI i polega na niewłaściwej kontroli generowania kodu, co umożliwia atak typu 'Code Injection'. Problem ten występuje w wersjach od n/a do 1.1.4 włącznie.

CVE-2025-48129
Krytyczne

W podatności CVE-2025-48129 występuje nieprawidłowe przypisanie uprawnień w narzędziu Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.4.37 włącznie.

PoprzedniaStrona 252 z 572Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS