CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Niektóre rozwiązania płatności bezobsługowych 'Stored Value' firmy KioSoft wykorzystują podatne karty NFC. Atakujący mogą wykorzystać tę podatność do zmiany salda na kartach i generowania pieniędzy.
NUP Pro opracowany przez NewType Infortech posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Niektóre modele NVR opracowane przez firmę Digiever mają podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu oraz pozyskać hasła w postaci niezaszyfrowanej dla NVR i podłączonych kamer.
Brama zabezpieczeń Daikin Europe N.V. jest podatna na obejście autoryzacji poprzez lukę w kluczu kontrolowanym przez użytkownika, co może pozwolić atakującemu na ominięcie uwierzytelnienia. Nieautoryzowany atakujący mógłby uzyskać dostęp do systemu bez wcześniejszych poświadczeń.
W wersji 0.7.2-beta.2 AIRI, komponent MarkdownRenderer.vue przetwarza zawartość Markdown i renderuje przetworzony HTML bezpośrednio w DOM przy użyciu v-html. Atakujący może stworzyć plik karty zawierający złośliwy HTML/JavaScript, co prowadzi do podatności na ataki typu cross-site scripting (XSS).
Wtyczka BeyondCart Connector dla WordPressa jest podatna na eskalację uprawnień z powodu niewłaściwego zarządzania sekretem JWT oraz autoryzacją w filtrze determine_current_user w wersjach od 1.4.2 do 3.0.1. Umożliwia to nieautoryzowanym atakującym tworzenie ważnych tokenów i przyjmowanie tożsamości dowolnego użytkownika.
Zidentyfikowano podatność na wstrzykiwanie SQL w atrybucie 'ID' odpowiedzi SAML, gdy pamięć podręczna powtórzeń Shibboleth Service Provider (SP) jest skonfigurowana do używania bazy danych SQL jako usługi przechowywania. Atakujący bez uwierzytelnienia może wykorzystać tę lukę do wydobycia dowolnych danych z bazy danych, jeśli połączenie z bazą danych jest skonfigurowane do używania wtyczki ODBC.
Pakiet npm `interactive-git-checkout` jest interaktywnym narzędziem wiersza poleceń, które umożliwia użytkownikom przełączanie się między gałęziami git. Wersje do 1.1.4 są podatne na atak typu injection komend, ponieważ nazwa gałęzi jest przekazywana do polecenia `git checkout` bez odpowiedniej walidacji lub sanitizacji wejścia.
W FTP-Flask-python występuje podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń systemowych. Punkt końcowy /ftp.html w akcji 'Upload File' konstruuje polecenie powłoki z parametru ftp_file i wykonuje je za pomocą os.system() bez odpowiedniego oczyszczania lub ucieczki.
Podatność na obejście uwierzytelniania umożliwia zdalnym atakującym uzyskanie uprawnień administracyjnych na punktach dostępowych bezprzewodowych serii Sophos AP6, które są starsze niż wersja oprogramowania układowego 1.7.2563 (MR7).
XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania tytułu w makrze kodu wklejania Confluence umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.
XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania parametru ac:type w makrze ConfluenceLayoutSection umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.
Podatność CVE-2025-55051 dotyczy użycia domyślnych poświadczeń, co może prowadzić do nieautoryzowanego dostępu do systemu. Wykorzystanie takich poświadczeń stwarza ryzyko, że nieuprawnione osoby uzyskają dostęp do wrażliwych danych.
Podatność CVE-2025-55050 dotyczy włączenia nieudokumentowanych funkcji w oprogramowaniu, co może prowadzić do nieprzewidzianych zachowań systemu. Tego rodzaju luki mogą być wykorzystane przez atakujących do uzyskania nieautoryzowanego dostępu lub manipulacji danymi.
Podatność CVE-2025-55049 dotyczy użycia domyślnego klucza kryptograficznego, co może prowadzić do nieautoryzowanego dostępu do danych. Wykorzystanie standardowych kluczy może osłabić bezpieczeństwo systemu.
Podatność CVE-2025-55048 dotyczy wielu przypadków CWE-78, co wskazuje na możliwość wykonania kodu zdalnego poprzez wstrzyknięcie poleceń. Tego typu podatności mogą występować w różnych aplikacjach i systemach, które nieprawidłowo obsługują dane wejściowe użytkownika.
Podatność typu Cross-Site Request Forgery (CSRF) w Frenify Mow mow umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Mow od n/a do 4.10 włącznie.
Podatność CVE-2025-47579 dotyczy deserializacji niezaufanych danych w wtyczce ThemeGoods Photography, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Photography od n/a do 7.7.2 włącznie.
W podatności CVE-2025-47569 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WooCommerce Ultimate Gift Card w wersjach od n/a do 2.9.6.
W mechanizmie odzyskiwania hasła w Hossein Material Dashboard występuje słabość, która może być wykorzystana do resetowania zapomnianego hasła. Problem ten dotyczy wersji Material Dashboard od n/a do 1.4.6 włącznie.

