Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-40762
Krytyczne

Wykorzystanie kryptograficznie słabego generatora liczb pseudolosowych (PRNG) w generatorze tokenów uwierzytelniających SSLVPN SonicOS, który w niektórych przypadkach może być przewidywalny przez atakującego, co potencjalnie prowadzi do ominięcia uwierzytelnienia.

CVE-2025-22137
Krytyczne

Podatność w Pingvin Share umożliwia uwierzytelnionym lub nieuwierzytelnionym użytkownikom (jeśli dozwolone są anonimowe udostępnienia) nadpisywanie dowolnych plików na serwerze, w tym wrażliwych plików systemowych, za pomocą żądań HTTP POST. Problem został naprawiony w wersji 1.4.0.

CVE-2024-11635
Krytyczne

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.24.12 poprzez parametr cookie 'wfu_ABSPATH'. Umożliwia to nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2024-11613
Krytyczne

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.

CVE-2024-54819
Krytyczne

I, Librarian w wersjach do 5.11.1 jest podatny na atak typu Server-Side Request Forgery (SSRF) z powodu niewłaściwej walidacji danych wejściowych w pliku classes/security/validation.php.

CVE-2024-35532
Krytyczne

W podatności XXE (XML External Entity) w Intersec Geosafe-ea w wersjach 2022.12, 2022.13 i 2022.14, atakujący mogą przeprowadzać odczyt dowolnych plików z uprawnieniami działającego procesu, wykonywać żądania SSRF lub powodować Denial of Service (DoS) za pomocą nieokreślonych wektorów.

CVE-2022-41573
Krytyczne

W Ovidentia 8.3 zidentyfikowano problem związany z funkcją przesyłania plików, która nie blokuje przesyłania plików wykonywalnych. Użytkownik może przesłać plik .png zawierający kod PHP, a następnie zmienić jego nazwę na .php, co umożliwia zdalne wykonanie kodu.

CVE-2024-55414
Krytyczne

W sterowniku SmSerl64.sys w Motorola SM56 Modem WDM Driver v6.12.23.0 występuje podatność, która pozwala użytkownikom o niskich uprawnieniach na mapowanie pamięci fizycznej za pomocą specjalnie przygotowanych żądań IOCTL. Może to prowadzić do eskalacji uprawnień, wykonania kodu z wysokimi uprawnieniami oraz ujawnienia informacji.

CVE-2024-50660
KrytyczneEPSS 54%

W AdPortal 3.0.39 wykryto obejście mechanizmu przesyłania plików, które umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików.

CVE-2024-50658
KrytyczneEPSS 53%

W AdPortal 3.0.39 wykryto podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Zdalny atakujący może wykorzystać parametry shippingAsBilling i firstname w pliku updateuserinfo.html do wykonania dowolnego kodu.

CVE-2025-0247
Krytyczne

W przeglądarce Firefox 133 i kliencie pocztowym Thunderbird 133 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu.

CVE-2024-55556
Krytyczne

Podatność w Crater Invoice pozwala nieautoryzowanemu atakującemu, który zna APP_KEY, na zdalne wykonanie poleceń na serwerze poprzez manipulację ciasteczkiem laravel_session. Wykorzystanie tej podatności opiera się na uzyskaniu tajnego APP_KEY, co umożliwia deszyfrowanie i manipulację danymi sesji.

CVE-2024-56290
Krytyczne

W podatności CVE-2024-56290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.2.

CVE-2024-56284
Krytyczne

Podatność CVE-2024-56284 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce SSL Wireless SMS Notification w wersjach od n/a do 3.5.0.

CVE-2024-56278
Krytyczne

Podatność CVE-2024-56278 dotyczy wtyczki WP Ultimate Exporter od Smackcoders Inc., która pozwala na zdalne dołączanie plików PHP z powodu niewłaściwej kontroli generowania kodu. Problem ten występuje w wersjach od n/a do 2.9.1 włącznie.

CVE-2024-49649
Krytyczne

W podatności CVE-2024-49649 występuje niewłaściwe kontrolowanie nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.

CVE-2024-49222
Krytyczne

Podatność na deserializację niezaufanych danych w WPGuppy wpguppy-lite umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPGuppy od n/a do 1.1.0 włącznie.

CVE-2024-43243
Krytyczne

Podatność CVE-2024-43243 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji themeglow JobBoard. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-12470
Krytyczne

Wtyczka SakolaWP do systemu zarządzania szkołą w WordPressie jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.8 włącznie. Problem wynika z funkcji rejestracji, która nie ogranicza właściwie ról, jakie użytkownik może przyjąć podczas rejestracji.

CVE-2024-12264
Krytyczne

Wtyczka PayU CommercePro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.8.3 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika w punktach końcowych REST API, co umożliwia nieautoryzowanym atakującym tworzenie nowych kont administracyjnych.

PoprzedniaStrona 289 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS