Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2020-37066
Krytyczne

GoldWave 5.70 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez przygotowanie złośliwego wejścia w oknie dialogowym Otwórz plik URL. Atakujący mogą stworzyć specjalnie przygotowany plik tekstowy z kodem powłoki zakodowanym w Unicode, aby wywołać przepełnienie stosu i wykonać polecenia po otwarciu pliku.

CVE-2020-37065
Krytyczne

Wersja 2.6 StreamRipper32 zawiera podatność na przepełnienie bufora w sekcji Stacja/Piosenka, która pozwala atakującym na nadpisanie pamięci poprzez manipulację wejściem SongPattern. Atakujący mogą stworzyć złośliwy ładunek przekraczający 256 bajtów, co potencjalnie umożliwia wykonanie dowolnego kodu i kompromitację aplikacji.

CVE-2025-62799
Krytyczne

Fast DDS to implementacja standardu DDS (Data Distribution Service) w C++. W wersjach przed 3.4.1, 3.3.1 i 2.6.11 występuje przepełnienie bufora na stercie w ścieżce odbioru DATA_FRAG. Nieautoryzowany nadawca może przesłać złośliwy pakiet RTPS DATA_FRAG, co prowadzi do awarii systemu (DoS) i potencjalnie umożliwia korupcję pamięci.

CVE-2025-10878
Krytyczne

W funkcjonalności logowania aplikacji Fikir Odalari AdminPando w wersji 1.0.1 przed 2026-01-26 występuje podatność na wstrzykiwanie SQL. Parametry nazwy użytkownika i hasła są podatne na atak, co pozwala nieautoryzowanym atakującym na całkowite ominięcie procesu uwierzytelniania.

CVE-2026-25241
Krytyczne

W frameworku PEAR przed wersją 1.33.0 występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym /get/<package>/<version>, co pozwala zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez odpowiednio skonstruowaną wersję pakietu. Problem został naprawiony w wersji 1.33.0.

CVE-2026-25240
Krytyczne

W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL w metodzie user::maintains(), gdy filtry ról były przekazywane jako tablica i interpolowane w klauzuli IN (...). Problem został naprawiony w wersji 1.33.0.

CVE-2026-25238
Krytyczne

PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0 występowała podatność na wstrzykiwanie SQL w procesie usuwania subskrypcji błędów, co mogło pozwolić atakującym na wstrzyknięcie SQL za pomocą spreparowanej wartości e-mail.

CVE-2026-25237
Krytyczne

PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0, użycie preg_replace() z modyfikatorem /e w obsłudze e-maili dotyczących aktualizacji błędów może umożliwić wykonanie kodu PHP, jeśli do ocenianego zamiennika dotrze treść kontrolowana przez atakującego. Problem został naprawiony w wersji 1.33.0.

CVE-2026-25236
Krytyczne

W wersjach przed 1.33.0 frameworka PEAR występuje ryzyko wstrzyknięcia SQL w zapytaniach karma z powodu niebezpiecznej substytucji literałów w liście IN (...). Problem ten został naprawiony w wersji 1.33.0.

CVE-2026-25234
Krytyczne

W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL podczas usuwania kategorii. Atakujący z dostępem do workflow zarządzania kategoriami mógł wstrzyknąć SQL za pomocą identyfikatora kategorii.

CVE-2026-25233
Krytyczne

W wersjach przed 1.33.0 frameworka PEAR występuje błąd logiczny w sprawdzaniu ról, który pozwala osobom niebędącym głównymi opiekunami na tworzenie, aktualizowanie lub usuwanie map drogowych. Problem ten został naprawiony w wersji 1.33.0.

CVE-2025-70841
Krytyczne

Dokans Multi-Tenancy Based eCommerce Platform SaaS w wersji 3.9.2 pozwala nieautoryzowanym zdalnym atakującym na uzyskanie wrażliwych danych konfiguracyjnych aplikacji poprzez bezpośrednie żądanie do pliku /script/.env. Ujawniony plik zawiera klucz szyfrowania aplikacji Laravel (APP_KEY), dane uwierzytelniające bazy danych, dane uwierzytelniające SMTP/SendGrid oraz wewnętrzne parametry konfiguracyjne.

CVE-2025-69983
Krytyczne

FUXA w wersji 1.2.7 umożliwia zdalne wykonanie kodu (RCE) poprzez funkcjonalność importu projektów. Aplikacja nieprawidłowo oczyszcza ani nie izoluje skryptów dostarczonych przez użytkowników w importowanych plikach projektów.

CVE-2025-69981
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.

CVE-2025-69971
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.

CVE-2025-69970
Krytyczne

FUXA w wersji 1.2.7 zawiera podatność na niebezpieczną domyślną konfigurację w pliku server/settings.default.js. Flaga 'secureEnabled' jest domyślnie zakomentowana, co powoduje, że aplikacja uruchamia się z wyłączoną autoryzacją.

CVE-2025-67188
Krytyczne

W TOTOLINK A950RG V4.1.2cu.5204_B20210112 występuje podatność na przepełnienie bufora. Problem dotyczy interfejsu setRadvdCfg w module /lib/cste_modules/ipv6.so, gdzie funkcja nieprawidłowo weryfikuje długość parametru radvdinterfacename kontrolowanego przez użytkownika.

CVE-2025-67187
Krytyczne

Zidentyfikowano podatność typu przepełnienie bufora na stosie w urządzeniu TOTOLINK A950RG V4.1.2cu.5204_B20210112. Problem występuje w interfejsie setIpQosRules w pliku /lib/cste_modules/firewall.so, gdzie parametr comment nie jest odpowiednio walidowany pod kątem długości.

CVE-2025-67186
Krytyczne

TOTOLINK A950RG w wersji V4.1.2cu.5204_B20210112 zawiera podatność na przepełnienie bufora w interfejsie setUrlFilterRules w pliku /lib/cste_modules/firewall.so. Podatność ta występuje, ponieważ parametr `url` nie jest odpowiednio walidowany pod kątem długości, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora.

CVE-2025-63624
Krytyczne

Podatność SQL Injection w platformie monitorowania inteligentnych wodomierzy firmy Shandong Kede Electronics Co., Ltd w wersji 1.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez plik imei_list.aspx.

PoprzedniaStrona 180 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS