CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-2345
Critical

Wykryto bardzo krytyczną podatność w kamerach samochodowych IROAD Dash Cam X5 i Dash Cam X6 do wersji 20250308. Problem dotyczy nieznanej części i prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2025-26875
Critical

W podatności CVE-2025-26875 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.3. Problem ten dotyczy wtyczki, która obsługuje różne adresy wysyłki i fakturowania.

CVE-2025-27595
Critical

Urządzenie wykorzystuje słaby algorytm haszowania do tworzenia haszy haseł. W związku z tym, atakujący może łatwo obliczyć pasujące hasło, co wpływa na bezpieczeństwo i integralność urządzenia.

CVE-2025-27593
Critical

Produkt może być wykorzystywany do dystrybucji złośliwego kodu za pomocą sterowników urządzeń SDD z powodu braku weryfikacji pobierania, co prowadzi do wykonania kodu na docelowych systemach.

CVE-2024-13771
Critical

Wtyczka Civi - Job Board & Freelance Marketplace dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.1.4. Problem wynika z braku walidacji użytkownika przed zmianą hasła, co umożliwia nieautoryzowanym atakującym zmianę hasła dowolnych użytkowników, w tym administratorów, jeśli znają nazwę użytkownika ofiary.

CVE-2025-27407
Critical

graphql-ruby to implementacja GraphQL w języku Ruby. W wersjach od 1.11.5 do 1.11.8, 1.12.25, 1.13.24, 2.0.32, 2.1.14, 2.2.17 i 2.3.21, załadowanie złośliwej definicji schematu w `GraphQL::Schema.from_introspection` (lub `GraphQL::Schema::Loader.load`) może prowadzić do zdalnego wykonania kodu.

CVE-2025-1960
Critical

W podatności CVE-2025-1960 występuje problem z inicjalizacją zasobu z niebezpiecznymi domyślnymi ustawieniami. Atakujący może wykonać nieautoryzowane polecenia, jeśli domyślne dane logowania systemu nie zostały zmienione po pierwszym użyciu.

CVE-2025-22954
Critical

W Koha przed wersją 24.11.02 występuje podatność na SQL Injection w funkcji GetLateOrMissingIssues w pliku C4/Serials.pm. Atakujący może wykorzystać parametry supplierid lub serialid w skrypcie /serials/lateissues-export.pl.

CVE-2025-28915
Critical

Podatność CVE-2025-28915 dotyczy motywu ThemeEgg ToolKit, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 1.2.9 włącznie.

CVE-2025-26701
Critical

Wykryto problem w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova, który dotyczy domyślnych poświadczeń konta serwisowego. Może to prowadzić do dostępu SSH, użycia Sudo do uzyskania uprawnień roota oraz ujawnienia wrażliwych danych.

CVE-2025-24201
Critical

Problem z zapisem poza przydzielonym obszarem pamięci został rozwiązany poprzez poprawione kontrole, które zapobiegają nieautoryzowanym działaniom. Problem ten został naprawiony w kilku wersjach Safari, iOS oraz macOS.

CVE-2024-56336
Critical

Zidentyfikowano podatność w urządzeniach SINAMICS S200 (wszystkie wersje z numerem seryjnym zaczynającym się od SZVS8, SZVS9, SZVS0 lub SZVSN oraz numerem FS 02). Affected device posiada odblokowany bootloader, co umożliwia atakującym wstrzykiwanie złośliwego kodu lub instalację nieufnego oprogramowania.

CVE-2025-26936
Critical

Podatność CVE-2025-26936 dotyczy niewłaściwej kontroli generowania kodu w frameworku FRESHFACE Fresh Framework, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Fresh Framework od n/a do 1.70.0 włącznie.

CVE-2025-26916
Critical

W podatności CVE-2025-26916 występuje niewłaściwe zarządzanie nazwą pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości zdalnego dołączenia pliku. Problem ten dotyczy wersji Massive Dynamic od n/a do 8.2 włącznie.

CVE-2025-27603
Critical

XWiki Confluence Migrator Pro umożliwia administratorom importowanie pakietów Confluence do ich instancji XWiki. Użytkownik, który nie ma uprawnień programistycznych, może wykonać dowolny kod z powodu nieodpowiedniego przetłumaczenia podczas tworzenia strony za pomocą szablonu Migracji Strony.

CVE-2025-27816
Critical

Wykryto podatność w Arctera InfoScale w wersjach od 7.0 do 8.0.2, która pozwala na wykorzystanie punktu końcowego .NET remoting z powodu niebezpiecznej deserializacji potencjalnie nieufnych wiadomości. Podatność występuje w usłudze Windows Plugin_Host, działającej na wszystkich serwerach z zainstalowanym InfoScale.

CVE-2025-1475
Critical

Wtyczka WPCOM Member dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z niewystarczającej weryfikacji parametru 'user_phone' podczas logowania.

CVE-2024-12144
Critical

W podatności CVE-2024-12144 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Finder Fire Safety Finder ERP/CRM (stara wersja). Problem dotyczy wersji przed 18.12.2024.

CVE-2025-25362
Critical

W wersji 0.7.2 Spacy-LLM występuje podatność typu Server-Side Template Injection (SSTI), która pozwala atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie spreparowanego ładunku do pola szablonu.

CVE-2023-38693
Critical

Serwer Lucee, oparty na Javie, ma podatność na zdalne wykonanie kodu (RCE) poprzez atak XML XXE w punkcie końcowym REST. Problem ten został naprawiony w wersjach Lucee 5.4.3.2, 5.3.12.1, 5.3.7.59, 5.3.8.236 oraz 5.3.9.173.

PreviousPage 275 of 573Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS