Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2023-53899
Krytyczne

PodcastGenerator w wersji 3.2.9 zawiera podatność na ślepą serwerową fałszywą prośbę (SSRF), która umożliwia atakującym wstrzykiwanie XML w formularzu przesyłania odcinka. Atakujący mogą manipulować parametrem 'shortdesc', aby wywołać zewnętrzne żądania HTTP do dowolnych punktów końcowych podczas tworzenia odcinka podcastu.

CVE-2025-65319
Krytyczne

Podatność w Blue Mail 1.140.103 i wcześniejszych wersjach powoduje, że podczas korzystania z funkcji interakcji z załącznikami dokumenty są zapisywane w systemie plików bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.

CVE-2025-65318
Krytyczne

Podatność w Canary Mail 5.1.40 i wcześniejszych wersjach powoduje, że podczas interakcji z załącznikami dokumenty są zapisywane bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.

CVE-2025-13888
Krytyczne

W OpenShift GitOps znaleziono lukę, która pozwala administratorom przestrzeni nazw na tworzenie niestandardowych zasobów ArgoCD, co może prowadzić do przyznania podwyższonych uprawnień w innych przestrzeniach nazw, w tym w przestrzeniach uprzywilejowanych. Uwierzytelniony atakujący może wykorzystać te uprawnienia do tworzenia uprzywilejowanych obciążeń działających na węzłach głównych, co skutkuje dostępem root do całego klastra.

CVE-2025-14156
Krytyczne

Wtyczka Fox LMS – WordPress LMS Plugin dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.5.1 włącznie. Problem wynika z niewłaściwej walidacji parametru 'role' podczas tworzenia nowych użytkowników przez punkt końcowy REST API `/fox-lms/v1/payments/create-order`.

CVE-2025-14665
Krytyczne

W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /goform/DhcpListClient komponentu obsługi żądań HTTP. Manipulacja argumentem 'page' prowadzi do przepełnienia bufora na stosie.

CVE-2025-14440
Krytyczne

Wtyczka JAY Login & Register dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.4.01 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia w funkcji 'jay_login_register_process_switch_back' z wartością ciasteczka 'jay_login_register_process_switch_back'.

CVE-2025-11693
Krytyczne

Wtyczka Export WP Page to Static HTML & PDF dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.4 włącznie, poprzez publicznie dostępne pliki cookies.txt zawierające ciasteczka uwierzytelniające. Umożliwia to nieautoryzowanym atakującym dostęp do ciasteczek, które mogły zostać wstrzyknięte do pliku dziennika, jeśli administrator strony uruchomił kopię zapasową przy użyciu określonej roli użytkownika, takiej jak 'administrator'.

CVE-2025-10738
Krytyczne

Wtyczka URL Shortener dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'analytic_id' we wszystkich wersjach do 3.0.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-58311
Krytyczne

System Dormakaba Saflok 6000 zawiera przewidywalny algorytm generowania kluczy, który umożliwia atakującym wyprowadzenie kluczy dostępu do kart na podstawie 32-bitowego unikalnego identyfikatora. Atakujący mogą wykorzystać deterministyczny proces generowania kluczy, obliczając ważne klucze dostępu za pomocą prostej transformacji matematycznej unikalnego identyfikatora karty.

CVE-2024-58299
Krytyczne

Serwer FTP PCMan w wersji 2.0 zawiera podatność na przepełnienie bufora w komendzie 'pwd', co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowany ładunek podczas procesu logowania FTP, aby nadpisać pamięć i potencjalnie uzyskać dostęp do systemu.

CVE-2024-14010
Krytyczne

Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.

CVE-2025-65854
Krytyczne

Podatność w funkcji zaplanowanych zadań MineAdmin v3.x wynika z nieprawidłowych uprawnień, co umożliwia atakującym wykonanie dowolnych poleceń i całkowite przejęcie konta.

CVE-2025-14344
Krytyczne

Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-12963
Krytyczne

Wtyczka LazyTasks – Zarządzanie projektami i zadaniami z współpracą, Kanban i wykresami Gantta dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.2.29. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przez punkt końcowy REST API 'wp-json/lazytasks/api/v1/user/role/edit/'.

CVE-2025-13764
Krytyczne

Wtyczka WP CarDealer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.16. Problem wynika z funkcji 'WP_CarDealer_User::process_register', która nie ogranicza ról użytkowników, z jakimi można się rejestrować.

CVE-2025-67511
Krytyczne

Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.

CVE-2025-67510
Krytyczne

Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.

CVE-2025-13607
Krytyczne

Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.

CVE-2025-13955
Krytyczne

W funkcjonalności punktu dostępowego EZCast Pro II przed wersją 1.17478.177 występuje przewidywalne domyślne hasło Wi-Fi, co umożliwia atakującym w zasięgu Wi-Fi uzyskanie dostępu do urządzenia poprzez obliczenie domyślnego hasła na podstawie widocznych identyfikatorów urządzenia.

PoprzedniaStrona 200 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS