Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-13011
Krytyczne

Wtyczka WP Foodbakery dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcji 'upload_publisher_profile_image' w wersjach do 4.7 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-0316
Krytyczne

Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.5 włącznie. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_enquiry_agent_contact_form_submit_callback'.

CVE-2025-1107
Krytyczne

W Janto, w wersjach przed r12, występuje niezweryfikowana podatność na zmianę hasła. Atakujący bez uwierzytelnienia może zmienić hasło innego użytkownika, nie znając jego aktualnego hasła, wysyłając odpowiednie żądanie POST do punktu końcowego '/public/cgi/Gateway.php'.

CVE-2025-25107
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji sainwp OneStore Sites umożliwia przeprowadzenie ataków CSRF. Problem ten dotyczy wersji OneStore Sites od n/a do 0.1.1 włącznie.

CVE-2025-25106
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w szablonach startowych FancyWP pozwala na przeprowadzenie ataku CSRF. Problem dotyczy szablonów startowych FancyWP w wersjach od n/a do 2.0.0.

CVE-2025-25101
Krytyczne

W podatności CVE-2025-25101 występuje problem Cross-Site Request Forgery (CSRF) w MetricThemes Munk Sites, który pozwala na przeprowadzenie ataku CSRF. Dotyczy to wersji Munk Sites od n/a do 1.0.7 włącznie.

CVE-2025-1061
Krytyczne

Wtyczka Nextend Social Login Pro dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.1.16 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika dostarczanego podczas żądania uwierzytelnienia Apple OAuth przez wtyczkę.

CVE-2025-0674
Krytyczne

Wiele produktów Elber jest podatnych na lukę w autoryzacji, która umożliwia nieautoryzowany dostęp do funkcji zarządzania hasłami. Atakujący mogą wykorzystać tę lukę, manipulując punktem końcowym, aby nadpisać hasło dowolnego użytkownika w systemie.

CVE-2025-24981
Krytyczne

MDC to narzędzie do przetwarzania Markdown, które w dotkniętych wersjach ma niebezpieczną logikę analizy URL, co może prowadzić do wykonania dowolnego kodu JavaScript. Bypass istniejących zabezpieczeń wokół schematu protokołu `javascript:` umożliwia atakującym wykorzystanie złośliwych łączy XSS.

CVE-2024-36556
Krytyczne

Urządzenia Forever KidsWatch Call Me KW50 oraz KW60 zawierają podatność związaną z twardo zakodowanym hasłem. Ta luka może umożliwić nieautoryzowany dostęp do funkcji urządzenia.

CVE-2024-36555
Krytyczne

Wbudowana komenda konfiguracji SMS w urządzeniach Forever KidsWatch Call Me KW50 oraz Forever KidsWatch Call Me 2 umożliwia złośliwym użytkownikom zmianę numeru IMEI urządzenia, co pozwala na fałszowanie tożsamości urządzenia.

CVE-2024-36554
Krytyczne

Urządzenia Forever KidsWatch Call Me KW-50 oraz KW-60 umożliwiają złośliwemu użytkownikowi uzyskanie informacji o urządzeniu poprzez wysłanie SMS-a, co skutkuje zwróceniem wrażliwych danych.

CVE-2025-1066
Krytyczne

OpenPLC_V3 zawiera podatność na nieautoryzowane przesyłanie plików, co może być wykorzystane do kampanii złośliwego oprogramowania lub phishingu.

CVE-2024-57077
Krytyczne

Najnowsza wersja utils-extend (1.0.8) jest podatna na zanieczyszczenie prototypu poprzez funkcję lib.extend. Atakujący może dostarczyć ładunek z ustawieniem Object.prototype, co pozwala na wprowadzenie lub modyfikację właściwości w globalnym łańcuchu prototypów.

CVE-2025-23114
Krytyczne

Podatność w komponencie Veeam Updater umożliwia atakującym typu Man-in-the-Middle wykonanie dowolnego kodu na zaatakowanym serwerze. Problem wynika z niewłaściwej walidacji certyfikatu TLS.

CVE-2024-48445
Krytyczne

W wersji 3.5.3 systemu compop.ca ONLINE MALL występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry rid, tid, et i ts.

CVE-2025-0960
Krytyczne

HMI C-more EA9 firmy AutomationDirect zawiera funkcję z kontrolą zakresu, którą można pominąć. Może to umożliwić atakującemu wykorzystanie tej funkcji do spowodowania warunków odmowy usługi lub zdalnego wykonania kodu na zaatakowanym urządzeniu.

CVE-2025-24677
Krytyczne

W narzędziu Post/Page Copying Tool występuje podatność na wstrzykiwanie kodu ('Code Injection'), która pozwala na zdalne włączenie kodu. Problem ten dotyczy wersji od n/a do 2.0.3.

CVE-2025-22699
Krytyczne

W podatności CVE-2025-22699 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w kodzie Traveler Code. Problem dotyczy wersji Traveler Code od n/a do poniżej 3.1.2.

CVE-2025-1020
Krytyczne

W przeglądarkach Firefox 134 i Thunderbird 134 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu przy odpowiednim wysiłku.

PoprzedniaStrona 282 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS