Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-61506
Krytyczne

W MediaCrush w wersji do 1.0.1 odkryto problem, który pozwala zdalnym, nieautoryzowanym atakującym na przesyłanie dowolnych plików o dowolnym rozmiarze do punktu końcowego /upload.

CVE-2025-57529
Krytyczne

System zarządzania audytem YouDataSum CPAS w wersjach do 4.9 jest podatny na atak typu SQL Injection w punkcie końcowym /cpasList/findArchiveReportByDah z powodu niewystarczającej walidacji danych wejściowych. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń SQL poprzez odpowiednio skonstruowane dane wejściowe.

CVE-2026-1568
Krytyczne

Wersje Rapid7 InsightVM przed 8.34.0 zawierają problem z weryfikacją podpisu na chmurowym punkcie końcowym Assertion Consumer Service (ACS), co może umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do kont InsightVM skonfigurowanych za pomocą instalacji 'Security Console'. Problem ten prowadzi do pełnego przejęcia konta.

CVE-2025-5319
Krytyczne

Podatność CVE-2025-5319 dotyczy systemu zarządzania efektywnością DIGITA, który jest podatny na atak typu SQL Injection. Problem polega na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL.

CVE-2026-24465
Krytyczne

W urządzeniach punktów dostępu bezprzewodowego ELECOM występuje podatność na przepełnienie bufora na stosie. Odpowiednio skonstruowany pakiet może prowadzić do wykonania dowolnego kodu.

CVE-2026-24936
Krytyczne

Podatność CVE-2026-24936 dotyczy niewłaściwej walidacji parametrów wejściowych w określonym programie CGI, co pozwala nieautoryzowanemu zdalnemu atakującemu na zapis dowolnych danych do plików na systemie podczas dołączania do domeny AD z ADM. Wykorzystanie tej podatności może prowadzić do nadpisania krytycznych plików systemowych, co skutkuje całkowitym kompromitowaniem systemu.

CVE-2025-67484
Krytyczne

Podatność w MediaWiki związana z plikami programowymi includes/Api/ApiFormatXml.Php. Dotyczy wersji MediaWiki przed 1.39.16, 1.43.6, 1.44.3 oraz 1.45.1.

CVE-2026-25142
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.27, SandboxJS nie ogranicza poprawnie funkcji __lookupGetter__, co może prowadzić do uzyskania prototypów i umożliwić ucieczkę z sandboxa lub zdalne wykonanie kodu.

CVE-2026-25137
Krytyczne

Pakiet Odoo w NixOs, będący systemem ERP i CRM, w wersjach od 21.11 do przed 25.11 oraz 26.05, publicznie udostępnia menedżera bazy danych bez jakiejkolwiek autoryzacji. Umożliwia to nieautoryzowanym osobom usunięcie i pobranie całej bazy danych, w tym plików Odoo.

CVE-2026-23515
Krytyczne

Signal K Server to aplikacja serwerowa działająca jako centralny hub na łodzi. Przed wersją 1.5.0 istniała podatność na wstrzykiwanie poleceń, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami do zapisu na wykonywanie dowolnych poleceń powłoki na serwerze Signal K, gdy wtyczka set-system-time była włączona.

CVE-2026-22778
KrytyczneEPSS 88%

Podatność w vLLM od wersji 0.8.3 do 0.14.0 pozwala na wyciek adresu sterty poprzez wysłanie nieprawidłowego obrazu do endpointu multimodalnego. Wyciek ten redukuje skuteczność ASLR z 4 miliardów do około 8 prób, co ułatwia przeprowadzenie ataku.

CVE-2025-66480
Krytyczne

W Wildfire IM, przed wersją 1.4.3, występuje krytyczna podatność w komponencie im-server związana z funkcjonalnością przesyłania plików. Aplikacja udostępnia punkt końcowy (/fs), który obsługuje przesyłanie plików wieloczęściowych, ale nieprawidłowo sanitizuje nazwę pliku podaną przez użytkownika, co pozwala na ataki.

CVE-2022-50981
Krytyczne

Podatność CVE-2022-50981 pozwala nieautoryzowanemu zdalnemu atakującemu na uzyskanie pełnego dostępu do dotkniętych urządzeń, które są dostarczane bez domyślnego hasła, a jego ustawienie nie jest wymuszane.

CVE-2024-5986
Krytyczne

Podatność w h2oai/h2o-3 w wersji 3.46.0.1 pozwala zdalnym atakującym na zapis dowolnych danych do dowolnego pliku na serwerze. Wykorzystując punkt końcowy `/3/Parse`, atakujący mogą wstrzykiwać kontrolowane przez siebie dane jako nagłówek pustego pliku, który następnie jest eksportowany za pomocą punktu końcowego `/3/Frames/framename/export`.

CVE-2024-2356
Krytyczne

W aplikacji parisneo/lollms-webui występuje podatność typu Local File Inclusion (LFI) w punkcie końcowym '/reinstall_extension', związana z parametrem `name`. Umożliwia ona atakującym wstrzykiwanie złośliwego parametru `name`, co prowadzi do ładowania i wykonywania dowolnych plików Pythona z katalogu przesyłania.

CVE-2026-20418
Krytyczne

W systemie Thread występuje możliwe zapisanie danych poza przydzielonym obszarem pamięci z powodu braku odpowiedniego sprawdzenia granic. Może to prowadzić do zdalnego eskalowania uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-20407
Krytyczne

W sterowniku WLAN STA występuje możliwe podniesienie uprawnień z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień, wymagając jedynie uprawnień użytkownika do wykonania ataku.

CVE-2025-15030
Krytyczne

Wtyczka User Profile Builder dla WordPressa w wersjach przed 3.15.2 nie posiada odpowiedniego procesu resetowania hasła, co pozwala na zresetowanie hasła dowolnego użytkownika, w tym administratora, poprzez kilka nieautoryzowanych żądań, znając jedynie jego nazwę użytkownika.

CVE-2026-25202
Krytyczne

Konto bazy danych oraz hasło są zakodowane na stałe, co umożliwia logowanie się przy użyciu tego konta i manipulowanie bazą danych w serwerze MagicInfo9. Problem ten dotyczy serwera MagicINFO 9 w wersjach poniżej 21.1090.1.

CVE-2026-25200
Krytyczne

Podatność w serwerze MagicInfo9 umożliwia autoryzowanym użytkownikom przesyłanie plików HTML bez uwierzytelnienia, co prowadzi do ataków typu Stored XSS. Może to skutkować przejęciem konta użytkownika.

PoprzedniaStrona 181 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS