Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W serwerach pamięci masowej STEALTHONE D220/D340 firmy Y'S występuje podatność na wstrzykiwanie poleceń systemowych. Atakujący, który ma dostęp do podatnego produktu, może wykonać dowolne polecenie systemowe.
SAP NetWeaver Application Server dla ABAP oraz platforma ABAP pozwala uwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do systemu poprzez wykorzystanie niewłaściwych kontroli uwierzytelniania, co prowadzi do eskalacji uprawnień. Udana eksploitacja może prowadzić do poważnych problemów z bezpieczeństwem.
W urządzeniach Eaton X303 w wersjach 3.5.16 - 3.5.17 Build 712, atakujący z dostępem do sieci może zalogować się jako root przez SSH, ponieważ hasło root jest zakodowane w oprogramowaniu układowym. Należy zauważyć, że ta podatność występuje w wersjach, które nie są już wspierane przez Eaton.
Podatność w Cfx.re FXServer w wersji v9601 i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom modyfikację i odczyt dowolnych danych użytkownika poprzez odsłonięty punkt końcowy API. Problem wynika z nieprawidłowej kontroli dostępu.
Podatność 'Użycie hasła skrótu z niewystarczającym wysiłkiem obliczeniowym' w EveHome Eve Play pozwala atakującemu na wykonanie dowolnego kodu. Problem ten dotyczy wersji Eve Play do 1.1.42.
Podatność CVE-2025-22777 dotyczy deserializacji niezaufanych danych w wtyczce GiveWP, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GiveWP od n/a do 3.19.3 włącznie.
Atheos to samodzielnie hostowane, przeglądarkowe IDE w chmurze. W wersjach przed v600 parametry $path i $target nie są odpowiednio walidowane w wielu komponentach, co pozwala atakującemu na odczyt, modyfikację lub wykonanie dowolnych plików na serwerze.
Fortanix Enclave OS w wersji 3.36.1941-EM posiada podatność w interfejsie, która prowadzi do uszkodzenia stanu systemu w wyniku wstrzykniętych sygnałów.
FastCGI fcgi2 w wersjach od 2.x do 2.4.4 zawiera przepełnienie całkowitej liczby (i wynikowe przepełnienie bufora w stercie) spowodowane przez spreparowane wartości nameLen lub valueLen w danych przesyłanych do gniazda IPC. Problem ten występuje w funkcji ReadParams w pliku fcgiapp.c.
W Opsview Monitor Agent 6.8 odkryto podatność, która pozwala nieuwierzytelnionemu zdalnemu atakującemu na wywołanie check_nrpe wobec podatnych celów. Atakujący może wykorzystać znane wtyczki NRPE, które w domyślnej konfiguracji akceptują znaki kontrolne poleceń i przekazują je do interpreterów wiersza poleceń, co umożliwia ucieczkę z wykonania wtyczki NRPE i zdalne wykonanie poleceń na celu jako NT_AUTHORITY\SYSTEM.
PHPYun przed wersją 7.0.2 zawiera podatność umożliwiającą zdalne wykonanie kodu poprzez ograniczone zapisywanie plików i dołączanie plików z backdoorem.
W wersji 2.4 Infoblox BloxOne odkryto lukę w logice biznesowej spowodowaną podatnościami w grubej aplikacji klienckiej.
W podatności CVE-2025-22542 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wirtualnym bocie Ofek Nakar. Problem dotyczy wersji Virtual Bot od n/a do 1.0.0 włącznie.
W podatności CVE-2025-22540 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w module subskrypcji e-mail seballero. Problem dotyczy wersji Emailing Subscription od n/a do 1.4.1 włącznie.
Podatność CVE-2025-22504 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzach internetowych 4ECPS, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji 4ECPS Web Forms od n/a do 0.2.18 włącznie.
Wtyczka Post Grid Master – Custom Post Types, Taxonomies & Ajax Filter Everything z WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 3.4.12 włącznie, poprzez funkcję 'locate_template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
W SonicWALL SSL-VPN występuje możliwość obejścia wieloskładnikowego uwierzytelniania (MFA) w określonych przypadkach, związana z oddzielnym traktowaniem nazw kont UPN (User Principal Name) i SAM (Security Account Manager) przy integracji z Microsoft Active Directory. To pozwala na niezależną konfigurację MFA dla każdej metody logowania, co może umożliwić atakującym obejście MFA poprzez wykorzystanie alternatywnej nazwy konta.
Wiele podatności typu buffer overflow występuje w kilku binariach CGI stacji ładowania. Problem ten dotyczy oprogramowania Iocharger dla ładowarek modelu AC przed wersją 24120701.
Biblioteka <redacted>.so, używana przez <redacted>, jest podatna na przepełnienie bufora w kodzie obsługującym usuwanie certyfikatów. Przepełnienie bufora można wywołać, podając długą ścieżkę pliku do akcji <redacted> w binarnym pliku <redacted>.exe lub w skrypcie CGI <redacted>.sh.
W SonicOS występuje podatność na przepełnienie bufora opartego na liczbach całkowitych w module IPSec. Zdalny atakujący, w określonych warunkach, może spowodować awarię usługi (DoS) oraz potencjalnie wykonać dowolny kod, wysyłając specjalnie przygotowany ładunek IKEv2.

