Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-13147
Krytyczne

W panelu logowania B2B oprogramowania Merkur występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji przed 15.01.2025.

CVE-2024-12097
Krytyczne

W podatności CVE-2024-12097 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie E-Travel firmy Boceksoft Informatics. Problem dotyczy wersji przed 15.12.2024.

CVE-2024-12281
Krytyczne

Motyw Homey dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 2.4.2 włącznie. Problem wynika z możliwości, jaką plugin daje użytkownikom rejestrującym nowe konta, aby mogli ustawić własną rolę.

CVE-2024-11951
Krytyczne

Wtyczka Homey Login Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.4.0 włącznie. Problem wynika z możliwości, że użytkownicy rejestrujący nowe konta mogą ustawić własną rolę, co pozwala nieautoryzowanym atakującym na uzyskanie podwyższonych uprawnień poprzez stworzenie konta z rolą administratora.

CVE-2025-1515
Krytyczne

Wtyczka WP Real Estate Manager dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 2.8. Problem wynika z niewystarczającej weryfikacji tożsamości w procesie logowania przez LinkedIn.

CVE-2024-13787
Krytyczne

Motyw VEDA - MultiPurpose WordPress Theme dla WordPressa jest podatny na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 4.2, poprzez deserializację nieufnych danych wejściowych w funkcji 'veda_backup_and_restore_action'. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, wstrzyknięcie obiektu PHP.

CVE-2025-1393
Krytyczne

Nieautoryzowany zdalny atakujący może wykorzystać wbudowane dane uwierzytelniające, aby uzyskać pełne uprawnienia administracyjne w dotkniętym produkcie.

CVE-2025-24924
Krytyczne

W GMOD Apollo występuje funkcjonalność, która nie wymaga uwierzytelnienia, gdy jest używana z nazwą użytkownika administracyjnego. Może to prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych.

CVE-2025-23410
Krytyczne

Podatność CVE-2025-23410 dotyczy interfejsu webowego GMOD Apollo, który podczas przesyłania danych organizmów lub sekwencji nie sprawdza ataków typu path traversal w obsługiwanych typach archiwów. To może prowadzić do nieautoryzowanego dostępu do systemu plików.

CVE-2025-1260
Krytyczne

Na podatnych platformach działających na Arista EOS z skonfigurowanym OpenConfig, żądanie gNOI może być wykonane, gdy powinno zostać odrzucone. Może to prowadzić do nieoczekiwanego zastosowania konfiguracji lub operacji na przełączniku.

CVE-2025-1942
Krytyczne

Podatność CVE-2025-1942 dotyczy funkcji String.toUpperCase(), która mogła powodować wydłużenie łańcucha, co skutkowało włączeniem niezainicjowanej pamięci do wyniku. Problem ten został naprawiony w wersjach Firefox 136 i Thunderbird 136.

CVE-2025-1941
Krytyczne

W określonych okolicznościach, ustawienie wymagające uwierzytelnienia przed użyciem funkcji Focus mogło zostać ominięte. Ta podatność została naprawiona w przeglądarce Firefox 136.

CVE-2024-8262
Krytyczne

W podatności CVE-2024-8262 w oprogramowaniu Proliz Software OBS występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu Path Traversal. Problem dotyczy wersji OBS przed 24.0927.

CVE-2025-27270
Krytyczne

W systemie Residential Address Detection od enituretechnology występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.5.4 włącznie.

CVE-2025-27268
Krytyczne

W podatności CVE-2025-27268 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.18 włącznie.

CVE-2025-26988
Krytyczne

Wtyczka SMS Alert Order Notifications dla WordPressa (wersje do 3.7.8 włącznie) zawiera podatność na wstrzykiwanie SQL. Luka wynika z niewłaściwego neutralizowania specjalnych elementów w zapytaniach SQL, co pozwala atakującemu na wykonanie nieautoryzowanych operacji na bazie danych.

CVE-2025-26970
Krytyczne

Podatność CVE-2025-26970 dotyczy niewłaściwej kontroli generowania kodu w rdzeniu motywu FRESHFACE Ark, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji rdzenia motywu Ark od n/a do poniżej 1.71.0.

CVE-2025-26535
Krytyczne

W podatności CVE-2025-26535 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do podatności na atak typu Blind SQL Injection w bramce płatności CodeSolz Bitcoin / AltCoin dla WooCommerce. Problem dotyczy wersji bramki od n/a do 1.7.6 włącznie.

CVE-2025-25150
Krytyczne

W podatności CVE-2025-25150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce uListing w wersjach od n/a do 2.1.6.

CVE-2025-1671
Krytyczne

Wtyczka Academist Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.1.6. Problem wynika z funkcji academist_membership_check_facebook_user(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

PoprzedniaStrona 276 z 573Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS