Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-51139
KrytyczneEPSS 57%

W wielu routerach Vigor wykryto podatność na przepełnienie bufora w parserze CGI podczas obsługi nagłówka "Content-Length" żądań HTTP POST. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu.

CVE-2024-51138
KrytyczneEPSS 59%

W routerach DrayTek Vigor wykryto podatność przepełnienia bufora stosu w funkcji parsowania URL serwera TR069 STUN. Brak odpowiedniego sprawdzania granic parametrów URL umożliwia zdalnemu atakującemu wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie spreparowanego żądania.

CVE-2024-53944
Krytyczne

W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.

CVE-2024-13148
Krytyczne

Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.

CVE-2025-1751
Krytyczne

W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.

CVE-2024-57040
Krytyczne

Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.

CVE-2025-25790
KrytyczneEPSS 53%

W systemie FoxCMS w wersji 1.2.5 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie LocalTemplate.php. Atakujący może przesłać spreparowany plik ZIP, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2025-25789
KrytyczneEPSS 64%

W systemie FoxCMS w wersji 1.2.5 wykryto podatność zdalnego wykonania kodu (RCE) w metodzie index() w pliku \controller\Sitemap.php. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu na serwerze.

CVE-2025-25785
Krytyczne

W JizhiCMS v2.5.4 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie \c\PluginsController.php. Umożliwia ona atakującemu skanowanie sieci wewnętrznej poprzez spreparowane żądanie.

CVE-2025-25784
KrytyczneEPSS 53%

W Jizhicms v2.5.4 w komponencie TemplateController.php wykryto podatność na dowolne przesyłanie plików. Atakujący może przesłać spreparowany plik ZIP, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2025-25783
Krytyczne

W systemie Emlog Pro w wersji 2.5.3 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie admin\plugin.php. Umożliwia ona atakującemu wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku ZIP.

CVE-2025-26974
Krytyczne

W podatności CVE-2025-26974 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Multistore Locator. Problem dotyczy wersji od n/a do 2.5.1.

CVE-2025-26966
Krytyczne

Podatność CVE-2025-26966 dotyczy systemu PrivateContent, umożliwiając obejście uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach od n/a do 8.11.5 włącznie.

CVE-2025-26943
Krytyczne

Podatność CVE-2025-26943 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Easy Quotes w wersjach od n/a do 1.2.2.

CVE-2025-26900
Krytyczne

Podatność CVE-2025-26900 dotyczy deserializacji niezaufanych danych w systemie Flexmls® IDX, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Flexmls® IDX od n/a do 3.14.27 włącznie.

CVE-2024-56525
Krytyczne

W Public Knowledge Project (PKP) OJS, OMP i OPS przed wersjami 3.3.0.21 oraz 3.4.x przed 3.4.0.8, atak XXE przez rolę redaktora czasopisma może stworzyć nową rolę super administratora w kontekście czasopisma oraz wprowadzić wtyczkę z tylnym wejściem, przesyłając spreparowany dokument XML jako wtyczkę XML użytkownika.

CVE-2024-53544
Krytyczne

W systemie Smart Time Plus w wersjach od 8.x do 8.6 odkryto podatność na wstrzykiwanie SQL poprzez metodę getCookieNames w punkcie końcowym smarttimeplus/MySQLConnection.

CVE-2025-27364
Krytyczne

W MITRE Caldera w wersjach do 4.2.0 oraz 5.0.0 przed 35bc06e odkryto podatność na zdalne wykonanie kodu (RCE) w funkcjonalności kompilacji dynamicznych agentów (implantów) serwera. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na serwerze, na którym działa Caldera, poprzez spreparowane żądanie webowe do API serwera Caldera.

CVE-2024-54820
Krytyczne

W frameworku XOne Web Monitor w wersji 02.10.2024.530 zidentyfikowano podatność typu SQL injection na stronie logowania. Ta podatność umożliwia atakującym wydobycie wszystkich nazw użytkowników i haseł za pomocą odpowiednio skonstruowanego wejścia.

CVE-2025-26201
Krytyczne

Podatność w systemie GreaterWMS w wersji 2.1.49 i wcześniejszych umożliwia nieuwierzytelnionemu atakującemu zdalne ujawnienie poświadczeń poprzez trasę /staff. Pozwala to na ominięcie mechanizmów uwierzytelniania i eskalację uprawnień.

PoprzedniaStrona 279 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS