Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-22871
Krytyczne

Pakiet net/http niewłaściwie akceptuje pojedynczy znak LF jako terminator linii w liniach rozmiaru chunków danych. Może to umożliwić smuggling żądań, jeśli serwer net/http jest używany w połączeniu z serwerem, który błędnie akceptuje pojedynczy LF jako część chunk-ext.

CVE-2024-54092
Krytyczne

Zidentyfikowano podatność w zestawie narzędzi Industrial Edge Device Kit dla architektur arm64 i x86-64 w różnych wersjach. Wersje przed V1.20.2-1 dla arm64 oraz przed V1.21.1-1 dla x86-64 są szczególnie narażone.

CVE-2025-31330
Krytyczne

SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-30016
Krytyczne

SAP Financial Consolidation umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do konta administratora. Podatność wynika z niewłaściwych mechanizmów uwierzytelniania, co ma duży wpływ na poufność, integralność i dostępność aplikacji.

CVE-2025-27429
Krytyczne

SAP S/4HANA umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

CVE-2025-2004
Krytyczne

Wtyczka Simple WP Events dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji AJAX wpe_delete_file we wszystkich wersjach do i włącznie z 1.8.17. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2025-3363
Krytyczne

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze.

CVE-2025-3362
Krytyczne

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-3361
Krytyczne

Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-3248
KrytyczneAktywnie exploitowaneEPSS 100%

Podatność w Langflow przed wersją 1.3.0 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wstrzyknięcie kodu przez endpoint /api/v1/validate/code. Wykorzystanie podatności pozwala na wykonanie dowolnego kodu na serwerze.

CVE-2025-2941
Krytyczne

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.

CVE-2021-47667
Krytyczne

W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.

CVE-2025-32118
Krytyczne

Podatność CVE-2025-32118 dotyczy wtyczki CMP – Coming Soon & Maintenance, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.

CVE-2025-31480
Krytyczne

CVE-2025-31480 dotyczy rozszerzenia PostgreSQL o nazwie aiven-extras, które ma lukę umożliwiającą eskalację uprawnień do superużytkownika w bazach danych PostgreSQL. Luka ta wykorzystuje fakt, że funkcja format nie jest prefiksowana schematem.

CVE-2025-31403
Krytyczne

W podatności CVE-2025-31403 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji shiptrack Booking Calendar i Notification. Problem dotyczy wersji od n/a do 4.0.3 włącznie.

CVE-2024-51800
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w Favethemes Homey umożliwia eskalację uprawnień. Problem ten dotyczy wersji Homey od n/a do 2.4.1.

CVE-2024-13645
Krytyczne

Wtyczka tagDiv Composer dla WordPressa jest podatna na instancjonowanie obiektów PHP we wszystkich wersjach do i włącznie z 5.3 poprzez parametr modułu. Umożliwia to nieautoryzowanym atakującym instancjonowanie obiektu PHP.

CVE-2025-31911
Krytyczne

Podatność CVE-2025-31911 dotyczy wtyczki Social Share And Social Locker, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.4.2.

CVE-2025-29085
Krytyczne

Wersja 3.5.1 i wcześniejsze oprogramowania vipshop Saturn zawiera podatność na wstrzykiwanie SQL, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent /console/dashboard/executorCount?zkClusterKey.

CVE-2024-38392
Krytyczne

Pexip Infinity Connect przed wersją 1.13.0 nie posiada wystarczających kontroli autentyczności podczas ładowania zasobów, co umożliwia zdalnym atakującym uruchomienie nieufnego kodu w aplikacji.

PoprzedniaStrona 269 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS