Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
EnerSys AMPA w wersji 22.09 i wcześniejszych jest podatny na wstrzykiwanie poleceń, co prowadzi do uzyskania zdalnego dostępu z uprawnieniami administratora.
Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z akceptacji ciągu supported_type dostarczonego przez użytkownika oraz nazwy przesyłanego pliku bez wymuszania rzeczywistych sprawdzeń rozszerzeń lub MIME w funkcji upload().
Wtyczka Frontend Login and Registration Blocks dla WordPress jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.
Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().
Wtyczka Envolve Plugin dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjach 'zetra_languageUpload' i 'zetra_fontsUpload' we wszystkich wersjach do 1.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.
Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.
Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.
Podatność CVE-2025-29972 dotyczy ataku typu server-side request forgery (SSRF) w Azure Storage Resource Provider, który pozwala autoryzowanemu napastnikowi na przeprowadzenie spoofingu w sieci.
Podatność CVE-2025-29813 dotyczy obejścia uwierzytelniania w Azure DevOps, które wynika z założenia, że dane są niezmienne. Umożliwia to nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Grocery-CMS-PHP-Restful-API w wersji 1.3 jest podatny na atak związany z przesyłaniem plików poprzez skrypt /admin/add-category.php. Atakujący może wykorzystać tę podatność do przesłania złośliwych plików na serwer.
W systemach Arista CloudVision (wirtualnych lub fizycznych wdrożeniach lokalnych) funkcja Zero Touch Provisioning może być wykorzystana do uzyskania uprawnień administratora w systemie CloudVision, co daje więcej uprawnień niż to konieczne. Może to być użyte do zapytania lub manipulacji stanem systemu dla zarządzanych urządzeń.
Na podatnych platformach działających na Arista EOS z skonfigurowanym bezpiecznym Vxlan, ponowne uruchomienie agenta Tunnelsec spowoduje, że pakiety będą przesyłane przez bezpieczne tuneli Vxlan w postaci niezaszyfrowanej.
W dotkniętych wersjach portalu CloudVision występują niewłaściwe kontrole dostępu, które mogą umożliwić złośliwemu uwierzytelnionemu użytkownikowi podejmowanie szerszych działań na zarządzanych urządzeniach EOS niż zamierzono. Problem dotyczy produktów Arista CloudVision Portal działających lokalnie.
Podatność CVE-2025-47657 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie Productive Commerce. Problem ten dotyczy wersji od n/a do 1.1.40 włącznie.
Podatność CVE-2025-47549 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w wtyczce Themefic BEAF beaf-before-and-after-gallery, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji BEAF od n/a do 4.6.10 włącznie.
Wtyczka Frontend Dashboard dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji fed_wp_ajax_fed_login_form_post() w wersjach od 1.0 do 2.2.6. Umożliwia to nieautoryzowanym atakującym zresetowanie adresu e-mail i hasła administratora oraz podniesienie swoich uprawnień do poziomu administratora.
Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.
Wtyczka PGS Core dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 5.8.0, poprzez deserializację nieufnych danych wejściowych w funkcji 'import_header'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.

