Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-22905
KrytyczneEPSS 90%

W urządzeniu RE11S w wersji 1.11 wykryto podatność na wstrzykiwanie poleceń przez parametr command w ścieżce /goform/mp. Atakujący może zdalnie wykonać dowolne polecenia systemowe.

CVE-2025-22904
Krytyczne

W urządzeniu RE11S w wersji 1.11 odkryto przepełnienie stosu w funkcji setWAN przez parametr pptpUserName. Podatność ta może pozwolić atakującemu na zdalne wykonanie kodu lub spowodowanie awarii systemu.

CVE-2025-0456
Krytyczne

airPASS od NetVision Information ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym uzyskać dostęp do określonej funkcjonalności administracyjnej w celu pobrania wszystkich kont i haseł.

CVE-2025-0455
Krytyczne

airPASS od NetVision Information posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2024-57726
Krytyczne

Oprogramowanie do zdalnej pomocy SimpleHelp w wersji 5.5.7 i wcześniejszych ma podatność, która pozwala technikom o niskich uprawnieniach na tworzenie kluczy API z nadmiernymi uprawnieniami. Klucze te mogą być wykorzystane do eskalacji uprawnień do roli administratora serwera.

CVE-2024-48126
Krytyczne

W urządzeniu HI-SCAN 6040i Hitrax HX-03-19-I odkryto twardo zakodowane dane uwierzytelniające, które umożliwiają dostęp do wsparcia technicznego i serwisu dostawcy.

CVE-2025-22146
Krytyczne

W Sentry, narzędziu do śledzenia błędów i monitorowania wydajności, odkryto krytyczną podatność w implementacji SAML SSO. Umożliwia ona atakującemu przejęcie dowolnego konta użytkownika przy użyciu złośliwego dostawcy tożsamości SAML oraz innej organizacji na tej samej instancji Sentry.

CVE-2025-22785
Krytyczne

W systemie rezerwacji kursów ComMotion występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu od n/a do 6.0.6.

CVE-2025-22782
Krytyczne

Podatność CVE-2025-22782 dotyczy menedżera listy cen WR Price List Manager dla WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2024-12084
KrytyczneEPSS 99%

W demonie rsync odkryto podatność przepełnienia bufora sterty spowodowaną nieprawidłowym obsługiwaniem długości sum kontrolnych (s2length) kontrolowanych przez atakującego. Gdy MAX_DIGEST_LEN przekracza stałą SUM_LENGTH (16 bajtów), atakujący może zapisać dane poza granicami bufora sum2.

CVE-2024-9636
Krytyczne

Wtyczka Post Grid i Gutenberg Blocks dla WordPressa jest podatna na eskalację uprawnień w wersjach od 2.2.85 do 2.3.3. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.

CVE-2024-57483
Krytyczne

W urządzeniu Tenda i24 w wersji V2.0.0.5 wykryto podatność na przepełnienie bufora w funkcji addWifiMacFilter. Atakujący może wykorzystać tę lukę do zdalnego wykonania kodu lub spowodowania awarii systemu.

CVE-2024-57473
Krytyczne

W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji edycji adresu MAC. Brak weryfikacji długości danych wejściowych umożliwia atakującemu wysłanie spreparowanego żądania POST do /bin/webs, co może prowadzić do awarii urządzenia lub wykonania dowolnego kodu.

CVE-2024-54142
Krytyczne

Discourse AI to wtyczka do Discourse, która oferuje funkcje oparte na sztucznej inteligencji. W przypadku udostępniania rozmów z Discourse AI Bot w postach, HTML encje mogą wyciekać do aplikacji Discourse, gdy użytkownik odwiedza post z odnośnikiem do tej rozmowy.

CVE-2024-57482
Krytyczne

W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji przetwarzania sieci 5G. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnych komend poprzez wysłanie żądania POST do /bin/webs.

CVE-2024-57480
Krytyczne

W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji konfiguracji AP. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnych komend poprzez wysłanie żądania POST do /bin/webs.

CVE-2024-57479
Krytyczne

W urządzeniu H3C N12 w wersji V100R005 wykryto podatność przepełnienia bufora w funkcji aktualizacji adresu MAC. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnego kodu poprzez wysłanie żądania POST do /bin/webs.

CVE-2024-57471
Krytyczne

W urządzeniu H3C N12 w wersji V100R005 wykryto podatność na przepełnienie bufora w funkcji przetwarzania sieci bezprzewodowej 2.4G. Brak weryfikacji długości danych umożliwia atakującemu zdalne spowodowanie awarii urządzenia lub wykonanie dowolnego kodu poprzez wysłanie żądania POST do /bin/webs.

CVE-2024-49375
Krytyczne

W frameworku uczenia maszynowego Rasa zidentyfikowano podatność, która umożliwia zdalne wykonanie kodu przez atakującego, który ma możliwość załadowania złośliwie przygotowanego modelu do instancji Rasa. Wymaga to włączenia API HTTP oraz braku odpowiednich zabezpieczeń lub posiadania ważnego tokena uwierzytelniającego.

CVE-2024-55591
KrytyczneAktywnie exploitowaneEPSS 100%

Podatność umożliwiająca ominięcie uwierzytelniania w FortiOS i FortiProxy poprzez wykorzystanie alternatywnej ścieżki lub kanału. Atakujący zdalnie może uzyskać uprawnienia super-admina, wysyłając spreparowane żądania do modułu websocket Node.js.

PoprzedniaStrona 287 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS