Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność CVE-2025-26872 w dkszone Eximius umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Eximius od n/a do 2.2.
Pgpool-II dostarczany przez PgPool Global Development Group zawiera podatność na obejście uwierzytelniania z powodu podstawowej słabości. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do systemu jako dowolny użytkownik, co pozwala na odczyt lub modyfikację danych w bazie danych oraz/lub dezaktywację bazy danych.
W kamerach UniFi Protect (wersja 4.75.43 i wcześniejsze) występuje podatność na przepełnienie bufora w stercie, która może być wykorzystana przez złośliwego aktora z dostępem do sieci zarządzającej do zdalnego wykonania kodu (RCE).
Atakujący mógł wykonać odczyt lub zapis poza zakresem na obiekcie `Promise` w JavaScript. Ta podatność została naprawiona w wersjach Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1, Thunderbird 128.10.2 oraz Thunderbird 138.0.2.
Wtyczka Echo RSS Feed Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji echo_generate_featured_image() we wszystkich wersjach do 5.4.8.1 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka Crawlomatic Multipage Scraper Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji crawlomatic_generate_featured_image() we wszystkich wersjach do i włącznie z 2.6.8.1. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wersje BSON::XS do 0.8.4 dla Perla zawierają zintegrowaną bibliotekę libbson 1.1.7, która ma kilka podatności. Wśród nich znajdują się CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383 oraz CVE-2025-0755.
Podatność CVE-2025-39481 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Eventer. Problem ten dotyczy wersji Eventer od n/a do poniżej 3.11.4.
W podatności CVE-2025-32643 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji mojoomla WPGYM. Problem ten dotyczy wersji WPGYM od n/a do 65.0.
Auth0-PHP to PHP SDK dla API uwierzytelniania i zarządzania Auth0. W wersjach od 8.0.0-BETA1 do przed 8.14.0, ciasteczka sesyjne aplikacji korzystających z Auth0-PHP SDK skonfigurowanych z CookieStore mają tagi uwierzytelniające, które mogą być łamane metodą brute force, co może prowadzić do nieautoryzowanego dostępu.
Spotipy to biblioteka Pythona dla Spotify Web API. W wyniku użycia `pull_request_target` w pliku `.github/workflows/integration_tests.yml` oraz sprawdzenia head.sha z forka PR, atakujący mogą wykonać nieufny kod, uzyskując pełny dostęp do sekretów z repozytorium bazowego, w tym `GITHUB_TOKEN` oraz `SPOTIPY_CLIENT_ID`, `SPOTIPY_CLIENT_SECRET`.
Wtyczka TicketBAI Facturas dla WooCommerce w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji 'delpdf' we wszystkich wersjach do 3.18 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.
W firmware dysku sieciowego I-O DATA 'HDL-T Series' w wersji 1.21 i wcześniejszych, przy włączonej funkcji 'Remote Link3', występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe.
Wtyczka 百度站长SEO合集 dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji download_remote_image_to_media_library we wszystkich wersjach do i włącznie z 2.0.6. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
mediDOK w wersjach przed 2.5.18.43 umożliwia zdalnym atakującym wykonanie złośliwego kodu na docelowym systemie poprzez deserializację nieufnych danych.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 (wszystkie wersje < V2.16.5). Narzędzie 'traceroute' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 oraz RX5000 w wersjach poniżej V2.16.5. Narzędzie 'tcpdump' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 w wersjach poniżej V2.16.5. Narzędzie 'ping' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Oprogramowanie do fakturowania w wersji 1.0 jest podatne na wiele nieautoryzowanych ataków typu SQL Injection. Parametr 'username' w zasobie loginCheck.php nie waliduje otrzymywanych znaków, które są przesyłane do bazy danych bez filtracji.
Podatność umożliwia atakującemu włączenie udostępniania folderu iCloud bez wymaganego uwierzytelnienia. Problem został rozwiązany poprzez dodatkowe kontrole uprawnień w systemach iOS 18.5, iPadOS 18.5, iPadOS 17.7.7, macOS Sequoia 15.4, macOS Sonoma 14.7.6, macOS Ventura 13.7.6 oraz visionOS 2.5.

