Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-30633
Krytyczne

Podatność CVE-2025-30633 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Amazon Native Shopping Recommendations. Problem ten dotyczy wersji od n/a do 1.3.

CVE-2025-64123
Krytyczne

W Nuvation Energy Multi-Stack Controller (MSC) występuje niezamierzona podatność typu Proxy lub Intermediary, która umożliwia mostkowanie granic sieci. Problem ten dotyczy wersji Multi-Stack Controller (MSC) od 2.5.1 włącznie.

CVE-2025-64121
Krytyczne

Podatność CVE-2025-64121 w kontrolerze Multi-Stack (MSC) firmy Nuvation Energy umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji kontrolera MSC od 2.3.8 do przed 2.5.1.

CVE-2025-67268
Krytyczne

W gpsd przed commit dc966aa wykryto podatność polegającą na zapisie poza dozwolonym obszarem pamięci sterty w pliku drivers/driver_nmea2000.c. Funkcja hnd_129540, obsługująca pakiety NMEA2000 PGN 129540, nie weryfikuje liczby satelitów podanej przez użytkownika względem rozmiaru tablicy skyview (184 elementy). Pozwala to atakującemu na zapis poza granice tablicy poprzez podanie liczby satelitów do 255, co prowadzi do uszkodzenia pamięci, odmowy usługi (DoS) i potencjalnie do zdalnego wykonania kodu.

CVE-2025-14998
Krytyczne

Wtyczka Branda dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.4.24. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-15114
Krytyczne

Ksenia Security lares (model starszy) w wersji 1.6 zawiera krytyczną lukę bezpieczeństwa, która ujawnia PIN systemu alarmowego w pliku XML 'basisInfo' po uwierzytelnieniu. Atakujący mogą uzyskać PIN z odpowiedzi serwera, co pozwala na ominięcie zabezpieczeń i dezaktywację systemu alarmowego bez dodatkowego uwierzytelnienia.

CVE-2025-15113
Krytyczne

Model Ksenia Security lares (legacy) systemu automatyki domowej w wersji 1.6 zawiera podatność na niechroniony punkt końcowy, który pozwala uwierzytelnionym atakującym na przesyłanie binarnych obrazów systemu plików MPFS. Atakujący mogą wykorzystać tę podatność do nadpisania pamięci programu flash i potencjalnego wykonania dowolnego kodu na serwerze WWW systemu automatyki domowej.

CVE-2025-15111
Krytyczne

Model legacy Ksenia Security lares w wersji 1.6 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia nieautoryzowanym atakującym uzyskanie dostępu administracyjnego. Atakujący mogą wykorzystać słabe domyślne dane administracyjne, aby przejąć pełną kontrolę nad systemem automatyki domowej.

CVE-2022-50803
Krytyczne

JM-DATA ONU JF511-TV w wersji 1.0.67 wykorzystuje domyślne dane logowania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu do urządzenia z uprawnieniami administratora.

CVE-2025-66848
KrytyczneEPSS 56%

Routery JD Cloud NAS serii AX1800, AX3000, AX6600, BE6500, ER1 i ER2 w określonych wersjach oprogramowania zawierają podatność umożliwiającą nieautoryzowane zdalne wykonanie poleceń. Atakujący może wykorzystać tę lukę bez uwierzytelnienia, co prowadzi do pełnego przejęcia kontroli nad urządzeniem.

CVE-2025-52835
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w ConoHa przez GMO WING WordPress Migrator umożliwia przesyłanie powłok sieciowych na serwer WWW. Problem dotyczy WING WordPress Migrator w wersjach od n/a do 1.2.0 włącznie.

CVE-2025-15255
Krytyczne

W podatności CVE-2025-15255 zidentyfikowano problem w urządzeniu Tenda W6-S 1.0.0.4(510), który dotyczy nieznanej funkcji pliku /bin/httpd komponentu R7websSsecurityHandler. Manipulacja argumentem Cookie może prowadzić do przepełnienia bufora na stosie.

CVE-2025-68860
Krytyczne

Podatność CVE-2025-68860 dotyczy Mobile Builder, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.4.2 włącznie.

CVE-2025-68562
Krytyczne

Podatność CVE-2025-68562 w MapSVG firmy RomanCode umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji MapSVG od n/a do 8.7.3.

CVE-2025-69201
Krytyczne

Tugtainer to aplikacja do automatyzacji aktualizacji kontenerów Docker. W wersjach przed 1.15.1 istnieje możliwość wstrzykiwania dowolnych argumentów w `POST api/command/run` w tugtainer-agent, co stanowi poważne zagrożenie.

CVE-2025-68897
Krytyczne

W podatności CVE-2025-68897 występuje niewłaściwa kontrola generacji kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce IF AS Shortcode w wersjach od n/a do 1.2. Problem ten może być wykorzystany przez atakujących do wykonania nieautoryzowanego kodu.

CVE-2025-68952
Krytyczne

W wersji 0.0.60 systemu Eigent zidentyfikowano podatność na zdalne wykonanie kodu (RCE) przy użyciu jednego kliknięcia. Ta podatność umożliwia atakującemu wykonanie dowolnego kodu na maszynie lub serwerze ofiary.

CVE-2025-66203
Krytyczne

StreamVault to rozwiązanie do integracji pobierania wideo. Przed wersją 251126 występuje podatność na zdalne wykonanie kodu (RCE) w aplikacji stream-vault (SpiritApplication), która pozwala administratorom na konfigurowanie argumentów yt-dlp bez odpowiedniej walidacji.

CVE-2025-8769
Krytyczne

Aplikacja internetowa Telenium Online jest podatna z powodu skryptu Perl, który jest wywoływany do załadowania strony logowania. Z powodu niewłaściwej walidacji danych wejściowych, atakujący może wstrzyknąć dowolny kod Perl poprzez spreparowane żądanie HTTP, co prowadzi do zdalnego wykonania kodu na serwerze.

CVE-2019-25249
Krytyczne

Podatność CVE-2019-25249 dotyczy urządzenia devolo dLAN 500 AV Wireless+ w wersji 3.1.0-1, które zawiera lukę umożliwiającą obejście uwierzytelniania. Atakujący mogą włączyć ukryte usługi za pomocą skryptu htmlmgr CGI, co pozwala na uzyskanie dostępu do urządzenia bez hasła.

PoprzedniaStrona 196 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS