Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-26776
Krytyczne

Podatność CVE-2025-26776 w NotFound Chaty Pro umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki webowej na serwer. Problem ten dotyczy wersji Chaty Pro od n/a do 3.3.3.

CVE-2025-26763
Krytyczne

Podatność CVE-2025-26763 dotyczy deserializacji niezaufanych danych w wtyczce MetaSlider Responsive Slider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.94.0 włącznie.

CVE-2024-54756
Krytyczne

Podatność zdalnego wykonania kodu (RCE) w funkcji ZScript w GZDoom v4.13.1 pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie spreparowanego pliku PK3 zawierającego złośliwy plik źródłowy ZScript.

CVE-2025-1265
Krytyczne

W analizatorze protokołu Vinci występuje podatność na wstrzykiwanie poleceń systemowych, która może umożliwić atakującemu eskalację uprawnień oraz wykonanie kodu na zaatakowanym systemie.

CVE-2025-20059
Krytyczne

Podatność typu Relative Path Traversal w agencie polityk Java PingAM firmy Ping Identity umożliwia wstrzykiwanie parametrów. Problem ten dotyczy wersji PingAM Java Policy Agent od 5.10.3 do 2023.11.1 oraz do 2024.9.

CVE-2024-57401
Krytyczne

Podatność SQL Injection w portalu studenckim Uniclare w wersji 2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą funkcji 'Zapomniałeś hasła'.

CVE-2024-13789
Krytyczne

Wtyczka ravpage dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 2.31 włącznie, poprzez deserializację niezaufanych danych z parametru 'paramsv2'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2024-37361
Krytyczne

Aplikacja deserializuje nieufne dane bez wystarczającego weryfikowania, czy wynikowe dane będą poprawne. Wersje Hitachi Vantara Pentaho Business Analytics Server przed 10.2.0.0 i 9.3.0.9, w tym 8.3.x, deserializują nieufne dane JSON bez ograniczania parsera do zatwierdzonych klas i metod.

CVE-2023-46271
Krytyczne

Silnik IQ firmy Extreme Networks w wersjach przed 10.6r1a oraz od 10.6r4 do 10.6r5 zawiera podatność typu buffer overflow. Problem ten występuje w usłudze ah_webui, która domyślnie nasłuchuje na porcie TCP 3009.

CVE-2020-35546
Krytyczne

Urządzenia Lexmark MX6500 z oprogramowaniem LW75.JD.P296 i wcześniejszym zawierają podatność polegającą na nieprawidłowej kontroli dostępu w ustawieniach kontroli dostępu. Może to pozwolić nieautoryzowanym użytkownikom na ominięcie zabezpieczeń.

CVE-2025-25467
Krytyczne

Niewystarczające śledzenie i zwalnianie przydzielonej pamięci w libx264 git master umożliwia atakującym wykonanie dowolnego kodu poprzez stworzenie spreparowanego pliku AAC.

CVE-2025-22654
Krytyczne

Podatność CVE-2025-22654 w kodeshpa Simplified umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Simplified od n/a do 1.0.6.

CVE-2024-56000
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w K Elements od SeventhQueen umożliwia eskalację uprawnień. Problem ten dotyczy wersji K Elements od n/a do poniżej 5.4.0.

CVE-2025-24895
Krytyczne

CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2025-24894
Krytyczne

SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2024-55460
Krytyczne

W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.

CVE-2024-39327
Krytyczne

W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.

CVE-2024-13725
Krytyczne

Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.

CVE-2021-46686
Krytyczne

W acmailer CGI w wersji 4.0.3 i wcześniejszych oraz w acmailer DB w wersji 1.1.5 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. W przypadku wykorzystania tej podatności, atakujący może wykonać dowolne polecenie systemowe.

CVE-2025-22290
Krytyczne

W podatności CVE-2025-22290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – FreightQuote Edition w wersjach od n/a do 2.3.11.

PoprzedniaStrona 280 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS