Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka Alloggio Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwej walidacji tożsamości użytkownika w funkcjach alloggio_membership_init_rest_api_facebook_login oraz alloggio_membership_init_rest_api_google_login.
Wtyczka SetSail Membership dla WordPressa jest podatna na ataki we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwej weryfikacji tożsamości użytkowników przez logowanie społeczne.
Motyw Nokri – Job Board dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.6.2. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed aktualizacją danych użytkownika, takich jak hasło.
ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.
Podatność na obejście uwierzytelniania w aplikacji UniFi Protect z włączonymi urządzeniami Auto-Adopt Bridge może umożliwić złośliwemu aktorowi, który ma dostęp do sąsiedniej sieci kamer UniFi Protect, przejęcie kontroli nad tymi kamerami.
Podatność typu Use After Free w kamerach UniFi Protect może umożliwić zdalne wykonanie kodu (RCE) przez złośliwego aktora, który ma dostęp do sieci zarządzającej kamerami UniFi Protect.
Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.
Wtyczka WooCommerce Ultimate Gift Card dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcjach 'mwb_wgm_preview_mail' oraz 'mwb_wgm_woocommerce_add_cart_item_data' w wersjach do 2.9.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Vue Vben Admin w wersji 2.10.1 umożliwia nieautoryzowane logowanie do panelu administracyjnego z powodu problemu z twardo zakodowanymi poświadczeniami.
W systemie GFast w wersjach od 2 do 3.2 wykryto podatność na wstrzykiwanie SQL w parametrze OrderBy w endpointcie /system/operLog/list. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.
W wielu routerach Vigor wykryto podatność na przepełnienie bufora w parserze CGI podczas obsługi nagłówka "Content-Length" żądań HTTP POST. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu.
W routerach DrayTek Vigor wykryto podatność przepełnienia bufora stosu w funkcji parsowania URL serwera TR069 STUN. Brak odpowiedniego sprawdzania granic parametrów URL umożliwia zdalnemu atakującemu wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie spreparowanego żądania.
W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.
W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.
Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.
W systemie FoxCMS w wersji 1.2.5 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie LocalTemplate.php. Atakujący może przesłać spreparowany plik ZIP, co umożliwia wykonanie dowolnego kodu na serwerze.
W systemie FoxCMS w wersji 1.2.5 wykryto podatność zdalnego wykonania kodu (RCE) w metodzie index() w pliku \controller\Sitemap.php. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu na serwerze.
W JizhiCMS v2.5.4 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie \c\PluginsController.php. Umożliwia ona atakującemu skanowanie sieci wewnętrznej poprzez spreparowane żądanie.
W Jizhicms v2.5.4 w komponencie TemplateController.php wykryto podatność na dowolne przesyłanie plików. Atakujący może przesłać spreparowany plik ZIP, co umożliwia zdalne wykonanie kodu na serwerze.

