Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-26872
Krytyczne

Podatność CVE-2025-26872 w dkszone Eximius umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Eximius od n/a do 2.2.

CVE-2025-46801
Krytyczne

Pgpool-II dostarczany przez PgPool Global Development Group zawiera podatność na obejście uwierzytelniania z powodu podstawowej słabości. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do systemu jako dowolny użytkownik, co pozwala na odczyt lub modyfikację danych w bazie danych oraz/lub dezaktywację bazy danych.

CVE-2025-23123
Krytyczne

W kamerach UniFi Protect (wersja 4.75.43 i wcześniejsze) występuje podatność na przepełnienie bufora w stercie, która może być wykorzystana przez złośliwego aktora z dostępem do sieci zarządzającej do zdalnego wykonania kodu (RCE).

CVE-2025-4918
Krytyczne

Atakujący mógł wykonać odczyt lub zapis poza zakresem na obiekcie `Promise` w JavaScript. Ta podatność została naprawiona w wersjach Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1, Thunderbird 128.10.2 oraz Thunderbird 138.0.2.

CVE-2025-4391
Krytyczne

Wtyczka Echo RSS Feed Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji echo_generate_featured_image() we wszystkich wersjach do 5.4.8.1 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-4389
Krytyczne

Wtyczka Crawlomatic Multipage Scraper Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji crawlomatic_generate_featured_image() we wszystkich wersjach do i włącznie z 2.6.8.1. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-40906
Krytyczne

Wersje BSON::XS do 0.8.4 dla Perla zawierają zintegrowaną bibliotekę libbson 1.1.7, która ma kilka podatności. Wśród nich znajdują się CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383 oraz CVE-2025-0755.

CVE-2025-39481
Krytyczne

Podatność CVE-2025-39481 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Eventer. Problem ten dotyczy wersji Eventer od n/a do poniżej 3.11.4.

CVE-2025-32643
Krytyczne

W podatności CVE-2025-32643 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji mojoomla WPGYM. Problem ten dotyczy wersji WPGYM od n/a do 65.0.

CVE-2025-47275
Krytyczne

Auth0-PHP to PHP SDK dla API uwierzytelniania i zarządzania Auth0. W wersjach od 8.0.0-BETA1 do przed 8.14.0, ciasteczka sesyjne aplikacji korzystających z Auth0-PHP SDK skonfigurowanych z CookieStore mają tagi uwierzytelniające, które mogą być łamane metodą brute force, co może prowadzić do nieautoryzowanego dostępu.

CVE-2025-47928
Krytyczne

Spotipy to biblioteka Pythona dla Spotify Web API. W wyniku użycia `pull_request_target` w pliku `.github/workflows/integration_tests.yml` oraz sprawdzenia head.sha z forka PR, atakujący mogą wykonać nieufny kod, uzyskując pełny dostęp do sekretów z repozytorium bazowego, w tym `GITHUB_TOKEN` oraz `SPOTIPY_CLIENT_ID`, `SPOTIPY_CLIENT_SECRET`.

CVE-2025-4564
Krytyczne

Wtyczka TicketBAI Facturas dla WooCommerce w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji 'delpdf' we wszystkich wersjach do 3.18 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2025-32002
Krytyczne

W firmware dysku sieciowego I-O DATA 'HDL-T Series' w wersji 1.21 i wcześniejszych, przy włączonej funkcji 'Remote Link3', występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe.

CVE-2025-3917
Krytyczne

Wtyczka 百度站长SEO合集 dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji download_remote_image_to_media_library we wszystkich wersjach do i włącznie z 2.0.6. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-32363
Krytyczne

mediDOK w wersjach przed 2.5.18.43 umożliwia zdalnym atakującym wykonanie złośliwego kodu na docelowym systemie poprzez deserializację nieufnych danych.

CVE-2025-33025
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 (wszystkie wersje < V2.16.5). Narzędzie 'traceroute' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2025-33024
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 oraz RX5000 w wersjach poniżej V2.16.5. Narzędzie 'tcpdump' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2025-32469
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 w wersjach poniżej V2.16.5. Narzędzie 'ping' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2023-49641
Krytyczne

Oprogramowanie do fakturowania w wersji 1.0 jest podatne na wiele nieautoryzowanych ataków typu SQL Injection. Parametr 'username' w zasobie loginCheck.php nie waliduje otrzymywanych znaków, które są przesyłane do bazy danych bez filtracji.

CVE-2025-30448
Krytyczne

Podatność umożliwia atakującemu włączenie udostępniania folderu iCloud bez wymaganego uwierzytelnienia. Problem został rozwiązany poprzez dodatkowe kontrole uprawnień w systemach iOS 18.5, iPadOS 18.5, iPadOS 17.7.7, macOS Sequoia 15.4, macOS Sonoma 14.7.6, macOS Ventura 13.7.6 oraz visionOS 2.5.

PoprzedniaStrona 260 z 573Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS