Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Ta podatność pozwala uwierzytelnionym atakującym na wykonywanie poleceń za pomocą nazwy hosta urządzenia.
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na brak autoryzacji, co umożliwia nieautoryzowanym użytkownikom modyfikację i usuwanie danych. Problem wynika z braku sprawdzenia uprawnień w funkcji 'delete_object' we wszystkich wersjach do 3.28.25 włącznie.
Podatność w Fastjson przed wersją 1.2.48 umożliwia atakującemu wstrzyknięcie kodu JNDI poprzez specjalnie spreparowany dokument JSON z kluczem @type. Atak polega na wywołaniu publicznych metod wskazanej klasy Java, co może prowadzić do zdalnego wykonania kodu. Luka była aktywnie wykorzystywana w latach 2023-2025.
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.28.29 włącznie. Problem wynika z niewystarczającej walidacji wartości ról dostarczanych przez użytkowników w funkcjach 'validate_value', 'pre_update_value' oraz 'get_fields_display'.
Routery KAYSUS KS-WR3600 z oprogramowaniem układowym 1.0.5.9.1 umożliwiają obejście uwierzytelniania podczas walidacji sesji. W przypadku, gdy jakikolwiek użytkownik jest zalogowany, punkty końcowe, takie jak /cgi-bin/system-tool, akceptują nieautoryzowane żądania z pustymi lub nieprawidłowymi wartościami sesji.
OPEXUS eCasePortal przed wersją 9.0.45.0 umożliwia nieautoryzowanemu atakującemu dostęp do punktu końcowego 'Attachments.aspx', co pozwala na iterację przez przewidywalne wartości 'formid' oraz pobieranie lub usuwanie wszystkich plików przesłanych przez użytkowników, a także na przesyłanie nowych plików.
W aplikacji edu Business Solutions Print Shop Pro WebDesk w wersji 18.34 występuje podatność typu SQL Injection w parametrze hfInventoryDistFormID w punkcie końcowym /PSP/appNET/Store/CartV12.aspx/GetUnitPrice. Nieprawidłowe przetwarzanie danych wejściowych użytkownika umożliwia atakującym zdalne wykonywanie dowolnych poleceń SQL.
W wersji 18.34 aplikacji Print Shop Pro WebDesk od edu Business Solutions występuje problem w punkcie końcowym /PSP/appNET/Store/CartV12.aspx/GetUnitPrice, który pozwala zdalnemu atakującemu na tworzenie nieprawidłowości finansowych poprzez zakup przedmiotów z ujemną ilością. Podatność ta wynika z polegania na walidacji danych po stronie klienta.
Snuffleupagus to moduł, który zwiększa koszty ataków na strony internetowe poprzez eliminację klas błędów i zapewnienie systemu wirtualnych poprawek. W wersjach Snuffleupagus przed 0.13.0, przy włączonej funkcji walidacji przesyłania plików i skonfigurowanej do użycia jednego z upstreamowych skryptów walidacyjnych opartych na Vulcan Logic Disassembler (VLD), wszystkie pliki z wieloczęściowych żądań POST były oceniane jako kod PHP, jeśli rozszerzenie VLD nie było dostępne dla CLI SAPI.
Zestaw reguł OWASP (CRS) zawiera ogólne reguły wykrywania ataków dla zgodnych zapór aplikacji webowych. W wersjach przed 4.22.0 i 3.3.8 występuje błąd w regule 922110, który powoduje nadpisywanie zmiennych przechwytywania podczas przetwarzania żądań multipart z wieloma częściami.
Projekty korzystające z środowiska wirtualizacji SUSE (Harvester) mogą ujawniać domyślne hasło do logowania SSH systemu operacyjnego, jeśli używają interaktywnego instalatora w wersji 1.5.x lub 1.6.x do tworzenia nowego klastra lub dodawania nowych hostów do istniejącego klastra. Środowisko nie jest narażone, jeśli wykorzystany jest mechanizm rozruchu PXE wraz z konfiguracją Harvester.
Podatność CVE-2025-67928 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji themesuite Automotive Listings. Problem ten dotyczy wersji Automotive Listings od n/a do 18.6 włącznie.
Podatność CVE-2025-67924 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w oprogramowaniu Corpkit firmy zozothemes. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-67911 dotyczy deserializacji niezaufanych danych w oprogramowaniu Tribulant Software Newsletters, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Newsletters od n/a do 4.11 włącznie.
Podatność CVE-2025-67910 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Contentstudio, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Contentstudio od n/a do 1.3.7 włącznie.
W podatności CVE-2025-23993 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w frameworku Felan. Problem dotyczy wersji frameworka Felan od n/a do 1.1.3 włącznie.
W podatności CVE-2025-23504 w frameworku Felan występuje możliwość obejścia uwierzytelniania za pomocą alternatywnej ścieżki lub kanału, co prowadzi do nadużycia uwierzytelnienia. Problem ten dotyczy wersji frameworka Felan od n/a do 1.1.3 włącznie.
Wtyczka WP Cost Estimation dla WordPressa jest podatna na nieautoryzowane przesyłanie i usuwanie plików z powodu braku walidacji typu pliku w akcjach AJAX lfb_upload_form i lfb_removeFile w wersjach do 9.642 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Platforma V-SOL GPON/EPON OLT w wersji 2.03 zawiera podatność na otwarte przekierowanie w skrypcie, która pozwala atakującym manipulować parametrem GET 'parent'. Atakujący mogą tworzyć złośliwe linki, które przekierowują zalogowanych użytkowników na dowolne strony internetowe, wykorzystując niewłaściwą walidację danych wejściowych w mechanizmie przekierowania.
NREL BEopt w wersji 2.8.0.0 zawiera podatność na przechwytywanie DLL, która pozwala atakującym na ładowanie dowolnych bibliotek poprzez oszukiwanie użytkowników, aby otwierali pliki aplikacji z zdalnych udziałów. Atakujący mogą wykorzystać niebezpieczne ładowanie bibliotek sdl2.dll i libegl.dll, umieszczając złośliwe biblioteki na udziałach WebDAV lub SMB.

