Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-13954
Krytyczne

W wersjach EZCast Pro II przed 1.17478.177 występują twardo zakodowane klucze kryptograficzne w interfejsie administracyjnym, co pozwala atakującym na ominięcie kontroli autoryzacji i uzyskanie pełnego dostępu do interfejsu administracyjnego.

CVE-2025-13613
Krytyczne

Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.

CVE-2025-67506
Krytyczne

PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.

CVE-2025-66039
Krytyczne

Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.

CVE-2025-67489
Krytyczne

Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2021-47731
Krytyczne

Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.

CVE-2021-47728
Krytyczne

Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.

CVE-2025-64113
Krytyczne

Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.

CVE-2025-65882
Krytyczne

W OpenMPTCProuter do wersji 0.64 w pliku common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c w funkcji create_xor_ipad_opad wykryto podatność umożliwiającą potencjalny zapis dowolnych plików lub wykonanie dowolnych poleceń.

CVE-2025-59719
KrytyczneEPSS 52%

W Fortinet FortiWeb w wersjach 8.0.0, 7.6.0 do 7.6.4 oraz 7.4.0 do 7.4.9 występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego. Może to pozwolić nieautoryzowanemu atakującemu na ominięcie uwierzytelnienia logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.

CVE-2025-59718
KrytyczneAktywnie exploitowaneEPSS 94%

W Fortinet FortiOS, FortiProxy i FortiSwitchManager występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.

CVE-2025-66631
Krytyczne

CSLA .NET to framework przeznaczony do tworzenia wielokrotnego użytku obiektowych warstw biznesowych dla aplikacji. Wersje 5.5.4 i niższe umożliwiają użycie WcfProxy, które jest podatne na zdalne wykonanie kodu podczas deserializacji z powodu użycia przestarzałego NetDataContractSerializer (NDCS).

CVE-2025-42928
Krytyczne

W określonych warunkach, użytkownik z wysokimi uprawnieniami może wykorzystać podatność na deserializację w SAP jConnect do uruchomienia zdalnego kodu. Wykorzystanie specjalnie przygotowanego wejścia może prowadzić do poważnych konsekwencji dla poufności, integralności i dostępności systemu.

CVE-2025-42880
Krytyczne

Z powodu braku sanitacji danych wejściowych, SAP Solution Manager pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-14330
Krytyczne

Podatność CVE-2025-14330 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-14326
Krytyczne

Podatność typu use-after-free w komponencie Audio/Video: GMP. Została naprawiona w wersjach Firefox 146 i Thunderbird 146.

CVE-2025-14324
Krytyczne

Podatność CVE-2025-14324 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 115.31, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-14321
Krytyczne

Podatność typu use-after-free w komponencie sygnalizacyjnym WebRTC. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.

CVE-2025-12504
Krytyczne

Podatność CVE-2025-12504 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w oprogramowaniu Talent Software UNIS, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji UNIS przed 42321.

CVE-2025-11022
Krytyczne

W podatności CVE-2025-11022 zidentyfikowano lukę typu Cross-Site Request Forgery (CSRF) w Personal Project Panilux, która umożliwia ataki CSRF. Problem ten prowadzi do możliwości wstrzykiwania poleceń.

PoprzedniaStrona 201 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS