Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.
Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.
Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.
Standardowy użytkownik wykorzystuje funkcję uruchamiania jako, aby uruchomić aplikacje MEAC z uprawnieniami administratora. W celu zapewnienia, że system może samodzielnie się uruchomić, dane logowania administratora zostały zapisane, co umożliwia użytkownikowi EPC2 wykonywanie dowolnych poleceń z uprawnieniami administratora.
W podatności CVE-2024-13152 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection w panelu monitorowania maszyn Mobuy Online. Problem dotyczy wersji przed 2.0.
W aplikacji mobilnej (com.transsion.carlcare) występuje luka logiczna, która może prowadzić do przejęcia konta użytkownika.
W podatności CVE-2025-22630 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co prowadzi do możliwości wstrzyknięcia poleceń systemowych w widgecie Widget Options. Problem ten dotyczy wersji Widget Options od n/a do 4.1.0 włącznie.
Podatność CVE-2025-1127 pozwala atakującemu na wykonanie dowolnego kodu jako użytkownik bez uprawnień oraz na modyfikację zawartości dowolnych danych w systemie plików.
Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.5. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_parse_request'.
Crayfish to zbiór mikroserwisów Islandora 8, w tym Homarus, który udostępnia FFmpeg jako mikroserwis. Przed wersją 4.1.0 Crayfish, w niektórych konfiguracjach, mogło dojść do zdalnego wykonania kodu w instalacjach Homarus dostępnych przez sieć.
W Stroom, platformie do przetwarzania, przechowywania i analizy danych, występuje podatność, która pozwala na obejście uwierzytelniania w systemie Stroom, gdy jest skonfigurowany z ALB i dostępny nie przez ALB. Podatność ta może również umożliwić atak typu server-side request forgery, co może prowadzić do wykonania kodu lub eskalacji uprawnień przy użyciu adresu URL metadanych AWS.
Wtyczka WP Job Board Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.3.16. Problem wynika z możliwości podania przez użytkownika pola 'rola' podczas rejestracji, co umożliwia nieautoryzowanym atakującym rejestrację jako administrator na podatnych stronach.
W podatności CVE-2025-25530 występuje przepełnienie bufora w bramie Digital China DCBI-Netlog-LAB w wersji 1.0, spowodowane brakiem weryfikacji długości, co dotyczy zapisywania informacji o konfiguracji kontroli rodzicielskiej. Atakujący, którzy pomyślnie wykorzystają tę podatność, mogą spowodować awarię zdalnego urządzenia docelowego lub wykonać dowolne polecenia.
Zidentyfikowano podatność w kliencie zarządzania drukiem Lexmark, polegającą na zaufaniu do niezweryfikowanych danych wejściowych w decyzjach bezpieczeństwa.
Concorde, wcześniej znany jako Nexkey, to fork federacyjnej platformy mikroblogowej Misskey. Przed wersją 12.25Q1.1, z powodu niewłaściwej implementacji procesu wylogowywania, dane uwierzytelniające pozostają w ciasteczkach nawet po wylogowaniu, co może umożliwić atakującemu kradzież tokenów uwierzytelniających.
PandasAI wykorzystuje funkcję interaktywnego podpowiadania, która jest podatna na wstrzyknięcie podpowiedzi, co pozwala na uruchomienie dowolnego kodu Pythona. Może to prowadzić do zdalnego wykonania kodu (RCE) zamiast zamierzonego wyjaśnienia przetwarzania języka naturalnego przez model LLM.
Oprogramowanie układowe wszystkich urządzeń Wattsense Bridge zawiera te same wbudowane dane logowania dla użytkownika i roota. Hasło użytkownika można łatwo odzyskać za pomocą prób łamania haseł, co umożliwia dostęp do urządzenia przez interfejs szeregowy.
Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 4.8 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed ustawieniem bieżącego użytkownika oraz jego ciasteczka uwierzytelniającego.
Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 4.7. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.
System Spraw Szkolnych od Quanxun ma lukę, która umożliwia nieautoryzowanym atakującym przeglądanie określonych stron oraz uzyskiwanie informacji z bazy danych, w tym niezaszyfrowanych danych logowania administratora.

