Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-57971
Krytyczne

W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.

CVE-2025-1302
Krytyczne

Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.

CVE-2024-56973
Krytyczne

Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.

CVE-2025-0867
Krytyczne

Standardowy użytkownik wykorzystuje funkcję uruchamiania jako, aby uruchomić aplikacje MEAC z uprawnieniami administratora. W celu zapewnienia, że system może samodzielnie się uruchomić, dane logowania administratora zostały zapisane, co umożliwia użytkownikowi EPC2 wykonywanie dowolnych poleceń z uprawnieniami administratora.

CVE-2024-13152
Krytyczne

W podatności CVE-2024-13152 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection w panelu monitorowania maszyn Mobuy Online. Problem dotyczy wersji przed 2.0.

CVE-2025-1298
Krytyczne

W aplikacji mobilnej (com.transsion.carlcare) występuje luka logiczna, która może prowadzić do przejęcia konta użytkownika.

CVE-2025-22630
Krytyczne

W podatności CVE-2025-22630 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co prowadzi do możliwości wstrzyknięcia poleceń systemowych w widgecie Widget Options. Problem ten dotyczy wersji Widget Options od n/a do 4.1.0 włącznie.

CVE-2025-1127
Krytyczne

Podatność CVE-2025-1127 pozwala atakującemu na wykonanie dowolnego kodu jako użytkownik bez uprawnień oraz na modyfikację zawartości dowolnych danych w systemie plików.

CVE-2024-13182
Krytyczne

Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.5. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_parse_request'.

CVE-2025-25286
Krytyczne

Crayfish to zbiór mikroserwisów Islandora 8, w tym Homarus, który udostępnia FFmpeg jako mikroserwis. Przed wersją 4.1.0 Crayfish, w niektórych konfiguracjach, mogło dojść do zdalnego wykonania kodu w instalacjach Homarus dostępnych przez sieć.

CVE-2025-25182
Krytyczne

W Stroom, platformie do przetwarzania, przechowywania i analizy danych, występuje podatność, która pozwala na obejście uwierzytelniania w systemie Stroom, gdy jest skonfigurowany z ALB i dostępny nie przez ALB. Podatność ta może również umożliwić atak typu server-side request forgery, co może prowadzić do wykonania kodu lub eskalacji uprawnień przy użyciu adresu URL metadanych AWS.

CVE-2024-12213
Krytyczne

Wtyczka WP Job Board Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.3.16. Problem wynika z możliwości podania przez użytkownika pola 'rola' podczas rejestracji, co umożliwia nieautoryzowanym atakującym rejestrację jako administrator na podatnych stronach.

CVE-2025-25530
Krytyczne

W podatności CVE-2025-25530 występuje przepełnienie bufora w bramie Digital China DCBI-Netlog-LAB w wersji 1.0, spowodowane brakiem weryfikacji długości, co dotyczy zapisywania informacji o konfiguracji kontroli rodzicielskiej. Atakujący, którzy pomyślnie wykorzystają tę podatność, mogą spowodować awarię zdalnego urządzenia docelowego lub wykonać dowolne polecenia.

CVE-2025-1126
Krytyczne

Zidentyfikowano podatność w kliencie zarządzania drukiem Lexmark, polegającą na zaufaniu do niezweryfikowanych danych wejściowych w decyzjach bezpieczeństwa.

CVE-2025-24973
Krytyczne

Concorde, wcześniej znany jako Nexkey, to fork federacyjnej platformy mikroblogowej Misskey. Przed wersją 12.25Q1.1, z powodu niewłaściwej implementacji procesu wylogowywania, dane uwierzytelniające pozostają w ciasteczkach nawet po wylogowaniu, co może umożliwić atakującemu kradzież tokenów uwierzytelniających.

CVE-2024-12366
Krytyczne

PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.

CVE-2025-26410
Krytyczne

Oprogramowanie układowe wszystkich urządzeń Wattsense Bridge zawiera te same wbudowane dane logowania dla użytkownika i roota. Hasło użytkownika można łatwo odzyskać za pomocą prób łamania haseł, co umożliwia dostęp do urządzenia przez interfejs szeregowy.

CVE-2025-0181
Krytyczne

Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 4.8 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem bieżącego użytkownika oraz jego ciasteczka uwierzytelniającego.

CVE-2025-0180
Krytyczne

Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 4.7. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.

CVE-2025-1144
Krytyczne

System Spraw Szkolnych od Quanxun ma lukę, która umożliwia nieautoryzowanym atakującym przeglądanie określonych stron oraz uzyskiwanie informacji z bazy danych, w tym niezaszyfrowanych danych logowania administratora.

PoprzedniaStrona 281 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS