Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Pakiet net/http niewłaściwie akceptuje pojedynczy znak LF jako terminator linii w liniach rozmiaru chunków danych. Może to umożliwić smuggling żądań, jeśli serwer net/http jest używany w połączeniu z serwerem, który błędnie akceptuje pojedynczy LF jako część chunk-ext.
Zidentyfikowano podatność w zestawie narzędzi Industrial Edge Device Kit dla architektur arm64 i x86-64 w różnych wersjach. Wersje przed V1.20.2-1 dla arm64 oraz przed V1.21.1-1 dla x86-64 są szczególnie narażone.
SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.
SAP Financial Consolidation umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do konta administratora. Podatność wynika z niewłaściwych mechanizmów uwierzytelniania, co ma duży wpływ na poufność, integralność i dostępność aplikacji.
SAP S/4HANA umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.
Wtyczka Simple WP Events dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji AJAX wpe_delete_file we wszystkich wersjach do i włącznie z 1.8.17. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.
Podatność w Langflow przed wersją 1.3.0 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wstrzyknięcie kodu przez endpoint /api/v1/validate/code. Wykorzystanie podatności pozwala na wykonanie dowolnego kodu na serwerze.
Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.
W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.
Podatność CVE-2025-32118 dotyczy wtyczki CMP – Coming Soon & Maintenance, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
CVE-2025-31480 dotyczy rozszerzenia PostgreSQL o nazwie aiven-extras, które ma lukę umożliwiającą eskalację uprawnień do superużytkownika w bazach danych PostgreSQL. Luka ta wykorzystuje fakt, że funkcja format nie jest prefiksowana schematem.
W podatności CVE-2025-31403 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji shiptrack Booking Calendar i Notification. Problem dotyczy wersji od n/a do 4.0.3 włącznie.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Favethemes Homey umożliwia eskalację uprawnień. Problem ten dotyczy wersji Homey od n/a do 2.4.1.
Wtyczka tagDiv Composer dla WordPressa jest podatna na instancjonowanie obiektów PHP we wszystkich wersjach do i włącznie z 5.3 poprzez parametr modułu. Umożliwia to nieautoryzowanym atakującym instancjonowanie obiektu PHP.
Podatność CVE-2025-31911 dotyczy wtyczki Social Share And Social Locker, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.4.2.
Wersja 3.5.1 i wcześniejsze oprogramowania vipshop Saturn zawiera podatność na wstrzykiwanie SQL, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent /console/dashboard/executorCount?zkClusterKey.
Pexip Infinity Connect przed wersją 1.13.0 nie posiada wystarczających kontroli autentyczności podczas ładowania zasobów, co umożliwia zdalnym atakującym uruchomienie nieufnego kodu w aplikacji.

