Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-31200
Krytyczne

Wystąpił problem z uszkodzeniem pamięci, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, visionOS 2.4.1 oraz watchOS 11.5.

CVE-2025-39601
Krytyczne

W podatności CVE-2025-39601 występuje problem Cross-Site Request Forgery (CSRF) w wtyczce WPFactory Custom CSS, JS & PHP, który umożliwia zdalne włączenie kodu. Dotyczy to wersji wtyczki od n/a do 2.4.1 włącznie.

CVE-2025-39557
Krytyczne

Podatność CVE-2025-39557 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Kadence WooCommerce Email Designer, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.5.14.

CVE-2024-22036
Krytyczne

Zidentyfikowano podatność w Rancher, która pozwala na ucieczkę z chroot jail i uzyskanie dostępu root do kontenera Rancher. W środowiskach produkcyjnych możliwe jest dalsze eskalowanie uprawnień, a w środowiskach testowych i deweloperskich, przy użyciu kontenera Docker z flagą –privileged, można uciec z kontenera Docker i uzyskać dostęp do systemu hosta.

CVE-2025-3495
Krytyczne

Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.

CVE-2025-30215
Krytyczne

NATS-Server, serwer wysokowydajny dla systemu wiadomości NATS.io, ma lukę w zarządzaniu zasobami JetStream w wersjach od 2.2.0 do przed 2.10.27 oraz 2.11.1. Niektóre żądania API JS nie miały odpowiednich kontroli dostępu, co pozwalało użytkownikom z uprawnieniami do zarządzania JS w jednym koncie na wykonywanie działań administracyjnych na zasobach JS w innych kontach.

CVE-2025-30967
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w NotFound WPJobBoard umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy WPJobBoard w nieokreślonym zakresie wersji.

CVE-2025-26927
Krytyczne

Podatność CVE-2025-26927 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w LiquidThemes AI Hub, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AI Hub od n/a do 1.3.7 włącznie.

CVE-2025-32445
Krytyczne

Argo Events to framework automatyzacji workflow oparty na zdarzeniach dla Kubernetes. Użytkownik z uprawnieniami do tworzenia/modyfikowania zasobów EventSource i Sensor może uzyskać uprzywilejowany dostęp do systemu hosta i klastra, nawet bez bezpośrednich uprawnień administracyjnych.

CVE-2025-30206
Krytyczne

Dpanel to system wizualizacji Dockera, który zawiera w swojej domyślnej konfiguracji twardo zakodowany sekret JWT. Ta podatność pozwala atakującym na generowanie ważnych tokenów JWT, co może prowadzić do przejęcia kontroli nad maszyną hosta.

CVE-2025-2567
Krytyczne

Atakujący mógłby modyfikować lub dezaktywować ustawienia, zakłócać monitorowanie paliwa oraz operacje w łańcuchu dostaw, co prowadziłoby do wyłączenia monitorowania ATG. Może to skutkować potencjalnymi zagrożeniami dla bezpieczeństwa w przechowywaniu i transportowaniu paliwa.

CVE-2021-27289
Krytyczne

Wykryto podatność na atak powtórzeniowy w zestawie inteligentnego domu Zigbee produkowanym przez Ksix, gdzie mechanizm anty-replay oparty na polu licznika ramek jest niewłaściwie zaimplementowany. Atakujący w zasięgu bezprzewodowym może ponownie wysłać przechwycone pakiety z wyższym numerem sekwencyjnym, co pozwala na wstrzykiwanie fałszywych poleceń bez autoryzacji.

CVE-2025-32911
KrytyczneEPSS 52%

W bibliotece libsoup odkryto podatność typu use-after-free w funkcji soup_message_headers_get_content_disposition(). Umożliwia ona złośliwemu klientowi HTTP wywołanie uszkodzenia pamięci w serwerze libsoup.

CVE-2025-30985
Krytyczne

Podatność CVE-2025-30985 dotyczy deserializacji niezaufanych danych w systemie GNUCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GNUCommerce od n/a do 1.5.4 włącznie.

CVE-2025-1782
Krytyczne

W interfejsie webowym HylaFAX Enterprise oraz AvantFAX element formularza języka nie jest odpowiednio oczyszczany przed użyciem, co może być wykorzystane do włączenia dowolnego pliku w kodzie PHP.

CVE-2025-32931
Krytyczne

DevDojo Voyager w wersjach od 1.4.0 do 1.8.0, przy użyciu Laravel 8 lub nowszego, umożliwia uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemu operacyjnego za pomocą określonego polecenia php artisan.

CVE-2025-23391
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w SUSE Rancher pozwala na to, aby Ograniczony Administrator zmienił hasło Administratorów i przejął ich konta. Problem dotyczy wersji rancher: od 2.8.0 do przed 2.8.14, od 2.9.0 do przed 2.9.8, od 2.10.0 do przed 2.10.4.

CVE-2025-32607
Krytyczne

Podatność typu deserializacja niezaufanych danych w usłudze WpBookingly od magepeopleteam umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpBookingly od n/a do 1.3.0 włącznie.

CVE-2025-32603
Krytyczne

Podatność CVE-2025-32603 dotyczy wtyczki WP Online Users Stats, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.0.0.

CVE-2025-32579
Krytyczne

Podatność CVE-2025-32579 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Sync Posts firmy SoftClever Limited. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

PoprzedniaStrona 267 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS