Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-12922
Krytyczne

Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.

CVE-2025-30137
Krytyczne

W aplikacji mobilnej G-Net GNET APK w wersji 2.6.2 zidentyfikowano problem z twardo zakodowanymi danymi uwierzytelniającymi dla portów 9091 i 9092. Te dane umożliwiają nieautoryzowany dostęp do punktów końcowych API kamery samochodowej.

CVE-2025-30132
Krytyczne

Na urządzeniach IROAD Dashcam V odkryto problem związany z używaniem niezarejestrowanej domeny publicznej jako wewnętrznej. Domena ta nie jest własnością IROAD, co stwarza ryzyko, że atakujący może ją zarejestrować i przechwycić wrażliwy ruch urządzenia.

CVE-2025-30123
Krytyczne

Na urządzeniach ROADCAM X3 odkryto problem związany z aplikacją mobilną APK (Viidure), która zawiera zakodowane na stałe dane logowania FTP dla konta użytkownika FTPX. To umożliwia atakującym uzyskanie nieautoryzowanego dostępu i wyciągnięcie wrażliwych nagrań z urządzenia.

CVE-2025-30122
Krytyczne

Na urządzeniach ROADCAM X3 odkryto problem związany z domyślnymi, jednolitymi danymi uwierzytelniającymi, które nie mogą być modyfikowane przez użytkowników. Ułatwia to atakującym uzyskanie nieautoryzowanego dostępu do wielu urządzeń.

CVE-2024-8997
Krytyczne

W podatności CVE-2024-8997 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w interfejsie konfiguracyjnym Vestel EVC04. Problem dotyczy wersji interfejsu EVC04 przed V3.187 oraz V4.53.

CVE-2024-23943
Krytyczne

Nieautoryzowany zdalny atakujący może uzyskać dostęp do API chmurowego z powodu braku uwierzytelnienia dla krytycznej funkcji w dotkniętych urządzeniach. Dostępność nie jest naruszona.

CVE-2025-25650
Krytyczne

Problem z przechowywaniem danych kart NFC w zamku cyfrowym Dorset DG 201 H5_433WBSK_v2.2_220605 umożliwia atakującym tworzenie sklonowanych kart NFC, co pozwala na ominięcie procesu autoryzacji.

CVE-2025-2345
Krytyczne

Wykryto bardzo krytyczną podatność w kamerach samochodowych IROAD Dash Cam X5 i Dash Cam X6 do wersji 20250308. Problem dotyczy nieznanej części i prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2025-26875
Krytyczne

W podatności CVE-2025-26875 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.3. Problem ten dotyczy wtyczki, która obsługuje różne adresy wysyłki i fakturowania.

CVE-2025-27595
Krytyczne

Urządzenie wykorzystuje słaby algorytm haszowania do tworzenia haszy haseł. W związku z tym, atakujący może łatwo obliczyć pasujące hasło, co wpływa na bezpieczeństwo i integralność urządzenia.

CVE-2025-27593
Krytyczne

Produkt może być wykorzystywany do dystrybucji złośliwego kodu za pomocą sterowników urządzeń SDD z powodu braku weryfikacji pobierania, co prowadzi do wykonania kodu na docelowych systemach.

CVE-2024-13771
Krytyczne

Wtyczka Civi - Job Board & Freelance Marketplace dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.1.4. Problem wynika z braku walidacji użytkownika przed zmianą hasła, co umożliwia nieautoryzowanym atakującym zmianę hasła dowolnych użytkowników, w tym administratorów, jeśli znają nazwę użytkownika ofiary.

CVE-2025-27407
Krytyczne

graphql-ruby to implementacja GraphQL w języku Ruby. W wersjach od 1.11.5 do 1.11.8, 1.12.25, 1.13.24, 2.0.32, 2.1.14, 2.2.17 i 2.3.21, załadowanie złośliwej definicji schematu w `GraphQL::Schema.from_introspection` (lub `GraphQL::Schema::Loader.load`) może prowadzić do zdalnego wykonania kodu.

CVE-2025-1960
Krytyczne

W podatności CVE-2025-1960 występuje problem z inicjalizacją zasobu z niebezpiecznymi domyślnymi ustawieniami. Atakujący może wykonać nieautoryzowane polecenia, jeśli domyślne dane logowania systemu nie zostały zmienione po pierwszym użyciu.

CVE-2025-22954
Krytyczne

W Koha przed wersją 24.11.02 występuje podatność na SQL Injection w funkcji GetLateOrMissingIssues w pliku C4/Serials.pm. Atakujący może wykorzystać parametry supplierid lub serialid w skrypcie /serials/lateissues-export.pl.

CVE-2025-28915
Krytyczne

Podatność CVE-2025-28915 dotyczy motywu ThemeEgg ToolKit, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 1.2.9 włącznie.

CVE-2025-26701
Krytyczne

Wykryto problem w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova, który dotyczy domyślnych poświadczeń konta serwisowego. Może to prowadzić do dostępu SSH, użycia Sudo do uzyskania uprawnień roota oraz ujawnienia wrażliwych danych.

CVE-2025-24201
Krytyczne

Problem z zapisem poza przydzielonym obszarem pamięci został rozwiązany poprzez poprawione kontrole, które zapobiegają nieautoryzowanym działaniom. Problem ten został naprawiony w kilku wersjach Safari, iOS oraz macOS.

CVE-2024-56336
Krytyczne

Zidentyfikowano podatność w urządzeniach SINAMICS S200 (wszystkie wersje z numerem seryjnym zaczynającym się od SZVS8, SZVS9, SZVS0 lub SZVSN oraz numerem FS 02). Affected device posiada odblokowany bootloader, co umożliwia atakującym wstrzykiwanie złośliwego kodu lub instalację nieufnego oprogramowania.

PoprzedniaStrona 272 z 571Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS