CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wykryto problem z zapisem poza przydzielonym obszarem pamięci, który został rozwiązany poprzez poprawę walidacji danych wejściowych. Problem ten został naprawiony w iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, macOS Sonoma 14.7.3, macOS Ventura 13.7.3 oraz visionOS 2.3.
Problem dotyczy niewłaściwego usuwania informacji w aplikacji Wiadomości, co może prowadzić do ujawnienia danych kontaktowych użytkownika w logach systemowych. Został on naprawiony w macOS Sequoia 15.3, macOS Sonoma 14.7.3 oraz macOS Ventura 13.7.3.
Problem z uprawnieniami został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Problem ten został naprawiony w macOS Sequoia 15.4, macOS Sonoma 14.7.3 oraz macOS Ventura 13.7.3.
Wykryto problem związany z używaniem pamięci po jej zwolnieniu, który został rozwiązany dzięki poprawie zarządzania pamięcią. Problem ten został naprawiony w iOS 18.3, iPadOS 18.3, iPadOS 17.7.6, macOS Sequoia 15.3, macOS Sonoma 14.7.5, macOS Ventura 13.7.5, tvOS 18.3, visionOS 2.3 oraz watchOS 11.3.
Problem z uwierzytelnianiem został rozwiązany poprzez poprawę zarządzania stanem. Problem ten został naprawiony w Safari 18.2, iOS 18.2, iPadOS 18.2, macOS Sequoia 15.2 oraz watchOS 11.2, gdzie zakładki w trybie prywatnym mogą być dostępne bez uwierzytelnienia.
Problem dotyczy funkcji automatycznego uzupełniania haseł, która może wypełniać hasła po nieudanej autoryzacji. Został on rozwiązany poprzez wprowadzenie ulepszonych kontroli. Problem został naprawiony w iOS 18.2, iPadOS 18.2, macOS Sequoia 15.2, visionOS 2.2 oraz watchOS 11.2.
Problem polegał na możliwości wykorzystania systemowego binarnego pliku do identyfikacji konta Apple użytkownika. Został on rozwiązany poprzez usunięcie odpowiednich flag w systemach iOS 18.2, iPadOS 18.2 oraz watchOS 11.2.
Podatność CVE-2024-48841 pozwala na zdalne wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Dotyczy to wersji FLXEON 9.3.4 i starszych.
Podatność CVE-2025-24671 dotyczy deserializacji niezaufanych danych w aplikacji Save as PDF od zespołu Pdfcrowd. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
W podatności CVE-2025-24667 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.17 włącznie.
W podatności CVE-2025-24665 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Unishippers Edition. Problem dotyczy wersji od n/a do 2.4.8 włącznie.
Urządzenia DLINK DIR-825 REVB 2.03 mają podatność na wstrzykiwanie poleceń systemowych w interfejsie CGl apc_client_pin.cgi. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń poprzez parametr 'wps_pin' przekazywany do binarnego pliku apc_client_pin.cgi za pomocą żądania POST.
W podatności CVE-2025-24664 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – Worldwide Express Edition w wersjach od n/a do 5.0.20.
W podatności CVE-2025-24612 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Ihor Kit Shipping dla Nova Poshta. Problem ten dotyczy wersji Shipping for Nova Poshta od n/a do 1.19.6 włącznie.
Podatność CVE-2025-24601 dotyczy deserializacji niezaufanych danych w FundPress, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FundPress od n/a do 2.0.6 włącznie.
Podatność CVE-2025-24650 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Themefic Tourfic, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Tourfic od n/a do 2.15.3 włącznie.
W One Identity Identity Manager w wersjach 9.x przed 9.3 występuje podatność typu insecure direct object reference (IDOR), która umożliwia eskalację uprawnień. Dotyczy to wyłącznie instalacji lokalnych.
Oprogramowanie Beta10 nie zapewnia odpowiedniej kontroli autoryzacji w wielu obszarach aplikacji. Ta luka może umożliwić złośliwemu użytkownikowi, bez uwierzytelnienia, dostęp do prywatnych obszarów oraz obszarów przeznaczonych dla innych ról.
W aplikacji Logitime WebClock w wersjach do 5.43.0 występuje podatność na atak typu SQL Injection w domyślnej konfiguracji. Umożliwia to nieautoryzowanemu użytkownikowi wykonanie dowolnego kodu na serwerze bazy danych.
Zidentyfikowano problem w Fleet Server, gdzie polityki Fleet, które mogą zawierać wrażliwe informacje, były rejestrowane na poziomach logowania INFO i ERROR. Rodzaj wrażliwych informacji w dużej mierze zależy od aktywowanych integracji.

