Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W wersjach EZCast Pro II przed 1.17478.177 występują twardo zakodowane klucze kryptograficzne w interfejsie administracyjnym, co pozwala atakującym na ominięcie kontroli autoryzacji i uzyskanie pełnego dostępu do interfejsu administracyjnego.
Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.
PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.
Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.
Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.
Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.
W OpenMPTCProuter do wersji 0.64 w pliku common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c w funkcji create_xor_ipad_opad wykryto podatność umożliwiającą potencjalny zapis dowolnych plików lub wykonanie dowolnych poleceń.
W Fortinet FortiWeb w wersjach 8.0.0, 7.6.0 do 7.6.4 oraz 7.4.0 do 7.4.9 występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego. Może to pozwolić nieautoryzowanemu atakującemu na ominięcie uwierzytelnienia logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.
W Fortinet FortiOS, FortiProxy i FortiSwitchManager występuje podatność związana z niewłaściwą weryfikacją podpisu kryptograficznego, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości SAML.
CSLA .NET to framework przeznaczony do tworzenia wielokrotnego użytku obiektowych warstw biznesowych dla aplikacji. Wersje 5.5.4 i niższe umożliwiają użycie WcfProxy, które jest podatne na zdalne wykonanie kodu podczas deserializacji z powodu użycia przestarzałego NetDataContractSerializer (NDCS).
W określonych warunkach, użytkownik z wysokimi uprawnieniami może wykorzystać podatność na deserializację w SAP jConnect do uruchomienia zdalnego kodu. Wykorzystanie specjalnie przygotowanego wejścia może prowadzić do poważnych konsekwencji dla poufności, integralności i dostępności systemu.
Z powodu braku sanitacji danych wejściowych, SAP Solution Manager pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Podatność CVE-2025-14330 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.
Podatność typu use-after-free w komponencie Audio/Video: GMP. Została naprawiona w wersjach Firefox 146 i Thunderbird 146.
Podatność CVE-2025-14324 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Została naprawiona w wersjach Firefox 146, Firefox ESR 115.31, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.
Podatność typu use-after-free w komponencie sygnalizacyjnym WebRTC. Została naprawiona w wersjach Firefox 146, Firefox ESR 140.6, Thunderbird 146 oraz Thunderbird 140.6.
Podatność CVE-2025-12504 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w oprogramowaniu Talent Software UNIS, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji UNIS przed 42321.
W podatności CVE-2025-11022 zidentyfikowano lukę typu Cross-Site Request Forgery (CSRF) w Personal Project Panilux, która umożliwia ataki CSRF. Problem ten prowadzi do możliwości wstrzykiwania poleceń.

