Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-11861
Krytyczne

EnerSys AMPA w wersji 22.09 i wcześniejszych jest podatny na wstrzykiwanie poleceń, co prowadzi do uzyskania zdalnego dostępu z uprawnieniami administratora.

CVE-2025-4403
Krytyczne

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z akceptacji ciągu supported_type dostarczonego przez użytkownika oraz nazwy przesyłanego pliku bez wymuszania rzeczywistych sprawdzeń rozszerzeń lub MIME w funkcji upload().

CVE-2025-3605
Krytyczne

Wtyczka Frontend Login and Registration Blocks dla WordPress jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-2253
Krytyczne

Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().

CVE-2024-11617
Krytyczne

Wtyczka Envolve Plugin dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjach 'zetra_languageUpload' i 'zetra_fontsUpload' we wszystkich wersjach do 1.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-3714
Krytyczne

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3711
Krytyczne

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3710
Krytyczne

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-29972
Krytyczne

Podatność CVE-2025-29972 dotyczy ataku typu server-side request forgery (SSRF) w Azure Storage Resource Provider, który pozwala autoryzowanemu napastnikowi na przeprowadzenie spoofingu w sieci.

CVE-2025-29813
Krytyczne

Podatność CVE-2025-29813 dotyczy obejścia uwierzytelniania w Azure DevOps, które wynika z założenia, że dane są niezmienne. Umożliwia to nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2023-31585
Krytyczne

Grocery-CMS-PHP-Restful-API w wersji 1.3 jest podatny na atak związany z przesyłaniem plików poprzez skrypt /admin/add-category.php. Atakujący może wykorzystać tę podatność do przesłania złośliwych plików na serwer.

CVE-2025-0505
Krytyczne

W systemach Arista CloudVision (wirtualnych lub fizycznych wdrożeniach lokalnych) funkcja Zero Touch Provisioning może być wykorzystana do uzyskania uprawnień administratora w systemie CloudVision, co daje więcej uprawnień niż to konieczne. Może to być użyte do zapytania lub manipulacji stanem systemu dla zarządzanych urządzeń.

CVE-2024-12378
Krytyczne

Na podatnych platformach działających na Arista EOS z skonfigurowanym bezpiecznym Vxlan, ponowne uruchomienie agenta Tunnelsec spowoduje, że pakiety będą przesyłane przez bezpieczne tuneli Vxlan w postaci niezaszyfrowanej.

CVE-2024-11186
Krytyczne

W dotkniętych wersjach portalu CloudVision występują niewłaściwe kontrole dostępu, które mogą umożliwić złośliwemu uwierzytelnionemu użytkownikowi podejmowanie szerszych działań na zarządzanych urządzeniach EOS niż zamierzono. Problem dotyczy produktów Arista CloudVision Portal działających lokalnie.

CVE-2025-47657
Krytyczne

Podatność CVE-2025-47657 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie Productive Commerce. Problem ten dotyczy wersji od n/a do 1.1.40 włącznie.

CVE-2025-47549
Krytyczne

Podatność CVE-2025-47549 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w wtyczce Themefic BEAF beaf-before-and-after-gallery, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji BEAF od n/a do 4.6.10 włącznie.

CVE-2025-4104
Krytyczne

Wtyczka Frontend Dashboard dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji fed_wp_ajax_fed_login_form_post() w wersjach od 1.0 do 2.2.6. Umożliwia to nieautoryzowanym atakującym zresetowanie adresu e-mail i hasła administratora oraz podniesienie swoich uprawnień do poziomu administratora.

CVE-2025-3844
Krytyczne

Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.

CVE-2025-0855
Krytyczne

Wtyczka PGS Core dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 5.8.0, poprzez deserializację nieufnych danych wejściowych w funkcji 'import_header'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2025-46816
Krytyczne

goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.

PoprzedniaStrona 262 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS