Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.
Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka UrbanGo Membership dla WordPressa jest podatna na eskalację uprawnień w wersjach do 1.0.4 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, co pozwala na przypisanie roli administratora.
Nieprawidłowe zarządzanie sesjami w punkcie końcowym /login_ok.htm w DAEnetIP4 METO v1.25 umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
Nieprawidłowe zarządzanie sesjami w oprogramowaniu układowym Elber REBLE310 w wersji v5.5.1.R umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
W nadajnikach serii Nautel VX w wersji oprogramowania VX SW v6.4.0 i wcześniejszych odkryto podatność na zdalne wykonanie kodu (RCE) w procesie aktualizacji firmware'u. Atakujący mogą wykonać dowolny kod, dostarczając spreparowany pakiet aktualizacyjny do punktu końcowego /#/software/upgrades.
Błąd w kontroli dostępu w urządzeniach BW Broadcast TX600, TX300, TX150, TX1000, TX30 i TX50 umożliwia atakującym dostęp do plików dziennika oraz wydobycie identyfikatorów sesji. To może prowadzić do ataku typu hijacking sesji.
Nieprawidłowa kontrola dostępu w Itel Electronics IP Stream w wersji 1.7.0.6 umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń z uprawnieniami administratora.
W produktach rejestrujących dostarczanych przez firmę Yokogawa Electric Corporation zidentyfikowano niebezpieczne domyślne ustawienia. Funkcja uwierzytelniania jest domyślnie wyłączona, co pozwala na dostęp do wszystkich funkcji związanych z ustawieniami i operacjami przez nieautoryzowanych użytkowników.
W podatności CVE-2025-39471 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Modal Survey w wersjach od n/a do 2.0.2.0.1.
W podatności CVE-2025-39596 występuje słaba autoryzacja w wtyczce Quentn WP, co umożliwia eskalację uprawnień. Problem dotyczy wersji Quentn WP od n/a do 1.2.8 włącznie.
W podatności CVE-2025-39595 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w Quentn WP. Problem dotyczy wersji Quentn WP od n/a do 1.2.8.
Podatność CVE-2025-39588 dotyczy deserializacji niezaufanych danych w dodatkach Ultimate Store Kit Elementor. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
W podatności CVE-2025-39587 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w narzędziu Stylemix Cost Calculator Builder. Problem dotyczy wersji Cost Calculator Builder od n/a do 3.2.65 włącznie.
Podatność CVE-2025-39551 dotyczy deserializacji niezaufanych danych w FluentBoards, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentBoards od n/a do 1.47 włącznie.
Podatność CVE-2025-39550 dotyczy deserializacji niezaufanych danych w Shahjahan Jewel FluentCommunity, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentCommunity od n/a do 1.2.15 włącznie.
Podatność CVE-2025-39436 dotyczy aplikacji I Draw, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Może to prowadzić do wykorzystania złośliwych plików przez atakujących.
Podatność CVE-2025-32682 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG mapsvg-lite-interactive-vector-maps, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do 8.6.4 włącznie.
W podatności CVE-2025-32665 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji WebbyTemplate Office Locator. Problem dotyczy wersji Office Locator od n/a do 1.3.0 włącznie.
Podatność CVE-2025-32660 dotyczy menedżera zadań JS Job Manager w JoomSky, umożliwiając nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji JS Job Manager od n/a do 2.0.2 włącznie.

