Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-1671
Krytyczne

Wtyczka Academist Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.1.6. Problem wynika z funkcji academist_membership_check_facebook_user(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

CVE-2025-1638
Krytyczne

Wtyczka Alloggio Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwej walidacji tożsamości użytkownika w funkcjach alloggio_membership_init_rest_api_facebook_login oraz alloggio_membership_init_rest_api_google_login.

CVE-2025-1564
Krytyczne

Wtyczka SetSail Membership dla WordPressa jest podatna na ataki we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwej weryfikacji tożsamości użytkowników przez logowanie społeczne.

CVE-2024-12824
Krytyczne

Motyw Nokri – Job Board dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.6.2. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed aktualizacją danych użytkownika, takich jak hasło.

CVE-2025-27554
Krytyczne

ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.

CVE-2025-23116
Krytyczne

Podatność na obejście uwierzytelniania w aplikacji UniFi Protect z włączonymi urządzeniami Auto-Adopt Bridge może umożliwić złośliwemu aktorowi, który ma dostęp do sąsiedniej sieci kamer UniFi Protect, przejęcie kontroli nad tymi kamerami.

CVE-2025-23115
Krytyczne

Podatność typu Use After Free w kamerach UniFi Protect może umożliwić zdalne wykonanie kodu (RCE) przez złośliwego aktora, który ma dostęp do sieci zarządzającej kamerami UniFi Protect.

CVE-2024-1509
Krytyczne

Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.

CVE-2024-8425
Krytyczne

Wtyczka WooCommerce Ultimate Gift Card dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcjach 'mwb_wgm_preview_mail' oraz 'mwb_wgm_woocommerce_add_cart_item_data' w wersjach do 2.9.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-25570
Krytyczne

Vue Vben Admin w wersji 2.10.1 umożliwia nieautoryzowane logowanie do panelu administracyjnego z powodu problemu z twardo zakodowanymi poświadczeniami.

CVE-2024-55160
Krytyczne

W systemie GFast w wersjach od 2 do 3.2 wykryto podatność na wstrzykiwanie SQL w parametrze OrderBy w endpointcie /system/operLog/list. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.

CVE-2024-51139
KrytyczneEPSS 57%

W wielu routerach Vigor wykryto podatność na przepełnienie bufora w parserze CGI podczas obsługi nagłówka "Content-Length" żądań HTTP POST. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu.

CVE-2024-51138
KrytyczneEPSS 59%

W routerach DrayTek Vigor wykryto podatność przepełnienia bufora stosu w funkcji parsowania URL serwera TR069 STUN. Brak odpowiedniego sprawdzania granic parametrów URL umożliwia zdalnemu atakującemu wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie spreparowanego żądania.

CVE-2024-53944
Krytyczne

W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.

CVE-2024-13148
Krytyczne

Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.

CVE-2025-1751
Krytyczne

W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.

CVE-2024-57040
Krytyczne

Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.

CVE-2025-25790
KrytyczneEPSS 53%

W systemie FoxCMS w wersji 1.2.5 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie LocalTemplate.php. Atakujący może przesłać spreparowany plik ZIP, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2025-25789
KrytyczneEPSS 64%

W systemie FoxCMS w wersji 1.2.5 wykryto podatność zdalnego wykonania kodu (RCE) w metodzie index() w pliku \controller\Sitemap.php. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu na serwerze.

CVE-2025-25785
Krytyczne

W JizhiCMS v2.5.4 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie \c\PluginsController.php. Umożliwia ona atakującemu skanowanie sieci wewnętrznej poprzez spreparowane żądanie.

PoprzedniaStrona 278 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS