Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2021-4455
Krytyczne

Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-1093
Krytyczne

Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-3278
Krytyczne

Wtyczka UrbanGo Membership dla WordPressa jest podatna na eskalację uprawnień w wersjach do 1.0.4 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, co pozwala na przypisanie roli administratora.

CVE-2025-28242
Krytyczne

Nieprawidłowe zarządzanie sesjami w punkcie końcowym /login_ok.htm w DAEnetIP4 METO v1.25 umożliwia atakującym przeprowadzenie ataku przejęcia sesji.

CVE-2025-28238
Krytyczne

Nieprawidłowe zarządzanie sesjami w oprogramowaniu układowym Elber REBLE310 w wersji v5.5.1.R umożliwia atakującym przeprowadzenie ataku przejęcia sesji.

CVE-2025-28236
Krytyczne

W nadajnikach serii Nautel VX w wersji oprogramowania VX SW v6.4.0 i wcześniejszych odkryto podatność na zdalne wykonanie kodu (RCE) w procesie aktualizacji firmware'u. Atakujący mogą wykonać dowolny kod, dostarczając spreparowany pakiet aktualizacyjny do punktu końcowego /#/software/upgrades.

CVE-2025-28233
Krytyczne

Błąd w kontroli dostępu w urządzeniach BW Broadcast TX600, TX300, TX150, TX1000, TX30 i TX50 umożliwia atakującym dostęp do plików dziennika oraz wydobycie identyfikatorów sesji. To może prowadzić do ataku typu hijacking sesji.

CVE-2025-28231
Krytyczne

Nieprawidłowa kontrola dostępu w Itel Electronics IP Stream w wersji 1.7.0.6 umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń z uprawnieniami administratora.

CVE-2025-1863
Krytyczne

W produktach rejestrujących dostarczanych przez firmę Yokogawa Electric Corporation zidentyfikowano niebezpieczne domyślne ustawienia. Funkcja uwierzytelniania jest domyślnie wyłączona, co pozwala na dostęp do wszystkich funkcji związanych z ustawieniami i operacjami przez nieautoryzowanych użytkowników.

CVE-2025-39471
Krytyczne

W podatności CVE-2025-39471 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Modal Survey w wersjach od n/a do 2.0.2.0.1.

CVE-2025-39596
Krytyczne

W podatności CVE-2025-39596 występuje słaba autoryzacja w wtyczce Quentn WP, co umożliwia eskalację uprawnień. Problem dotyczy wersji Quentn WP od n/a do 1.2.8 włącznie.

CVE-2025-39595
Krytyczne

W podatności CVE-2025-39595 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w Quentn WP. Problem dotyczy wersji Quentn WP od n/a do 1.2.8.

CVE-2025-39588
Krytyczne

Podatność CVE-2025-39588 dotyczy deserializacji niezaufanych danych w dodatkach Ultimate Store Kit Elementor. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.

CVE-2025-39587
Krytyczne

W podatności CVE-2025-39587 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w narzędziu Stylemix Cost Calculator Builder. Problem dotyczy wersji Cost Calculator Builder od n/a do 3.2.65 włącznie.

CVE-2025-39551
Krytyczne

Podatność CVE-2025-39551 dotyczy deserializacji niezaufanych danych w FluentBoards, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentBoards od n/a do 1.47 włącznie.

CVE-2025-39550
Krytyczne

Podatność CVE-2025-39550 dotyczy deserializacji niezaufanych danych w Shahjahan Jewel FluentCommunity, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentCommunity od n/a do 1.2.15 włącznie.

CVE-2025-39436
Krytyczne

Podatność CVE-2025-39436 dotyczy aplikacji I Draw, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Może to prowadzić do wykorzystania złośliwych plików przez atakujących.

CVE-2025-32682
Krytyczne

Podatność CVE-2025-32682 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG mapsvg-lite-interactive-vector-maps, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do 8.6.4 włącznie.

CVE-2025-32665
Krytyczne

W podatności CVE-2025-32665 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji WebbyTemplate Office Locator. Problem dotyczy wersji Office Locator od n/a do 1.3.0 włącznie.

CVE-2025-32660
Krytyczne

Podatność CVE-2025-32660 dotyczy menedżera zadań JS Job Manager w JoomSky, umożliwiając nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji JS Job Manager od n/a do 2.0.2 włącznie.

PoprzedniaStrona 265 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS