Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Arteco Web Client DVR/NVR zawiera podatność na przejęcie sesji z powodu niewystarczającej złożoności identyfikatora sesji, co pozwala zdalnym atakującym na ominięcie uwierzytelnienia. Atakujący mogą przeprowadzić atak brute force na identyfikatory sesji w określonym zakresie numerycznym, aby uzyskać dostęp do ważnych sesji i strumieni na żywo z kamer bez autoryzacji.
Plexus anblick Digital Signage Management w wersji 3.1.13 zawiera podatność na otwarte przekierowanie w skrypcie 'PantallaLogin', co pozwala atakującym na manipulację parametrem GET 'pagina'. Atakujący mogą tworzyć złośliwe linki, które przekierowują użytkowników na dowolne strony internetowe.
Wtyczka FS Registration Password dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.0.1. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.
Wtyczka AS Password Field w domyślnym formularzu rejestracyjnym dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 2.0.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją hasła.
Moduł Crypt::Sodium::XS w wersjach wcześniejszych niż 0.000042 dla Perla zawiera podatną wersję libsodium. Wersje libsodium do 1.0.20 lub wydane przed 30 grudnia 2025 roku mają podatność, która może prowadzić do nieprawidłowego sprawdzania punktów na krzywej eliptycznej.
Wiele urządzeń D-Link DSL/DIR/DNS zawiera lukę w autoryzacji oraz niewłaściwą kontrolę dostępu w punkcie końcowym dnscfg.cgi, co pozwala nieautoryzowanemu atakującemu na dostęp do funkcji konfiguracji DNS. Atakujący może zmodyfikować ustawienia DNS urządzenia bez ważnych poświadczeń, co umożliwia ataki typu DNS hijacking.
W podatności CVE-2025-39484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Waituk Entrada. Problem ten dotyczy wersji Entrada od n/a do 5.7.7.
Wózki inwalidzkie elektryczne WHILL Model C2 oraz Model F nie wymuszają uwierzytelnienia dla połączeń Bluetooth. Atakujący znajdujący się w zasięgu może sparować się z urządzeniem i wydawać polecenia ruchu, omijać ograniczenia prędkości oraz manipulować profilami konfiguracyjnymi bez potrzeby posiadania jakichkolwiek poświadczeń lub interakcji ze strony użytkownika.
Podatność CVE-2023-50897 w aplikacji Meow Apps Media File Renamer pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji Media File Renamer od n/a do 5.7.7.
W podatności CVE-2025-68865 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Infility Global. Problem ten dotyczy wersji od n/a do 2.15.06 włącznie.
Podatność CVE-2025-31048 w Themify Shopo umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwerze WWW. Problem ten dotyczy wersji Shopo od n/a do 1.1.4.
Podatność CVE-2025-30633 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Amazon Native Shopping Recommendations. Problem ten dotyczy wersji od n/a do 1.3.
W Nuvation Energy Multi-Stack Controller (MSC) występuje niezamierzona podatność typu Proxy lub Intermediary, która umożliwia mostkowanie granic sieci. Problem ten dotyczy wersji Multi-Stack Controller (MSC) od 2.5.1 włącznie.
Podatność CVE-2025-64121 w kontrolerze Multi-Stack (MSC) firmy Nuvation Energy umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji kontrolera MSC od 2.3.8 do przed 2.5.1.
W gpsd przed commit dc966aa wykryto podatność polegającą na zapisie poza dozwolonym obszarem pamięci sterty w pliku drivers/driver_nmea2000.c. Funkcja hnd_129540, obsługująca pakiety NMEA2000 PGN 129540, nie weryfikuje liczby satelitów podanej przez użytkownika względem rozmiaru tablicy skyview (184 elementy). Pozwala to atakującemu na zapis poza granice tablicy poprzez podanie liczby satelitów do 255, co prowadzi do uszkodzenia pamięci, odmowy usługi (DoS) i potencjalnie do zdalnego wykonania kodu.
Wtyczka Branda dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.4.24. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.
Ksenia Security lares (model starszy) w wersji 1.6 zawiera krytyczną lukę bezpieczeństwa, która ujawnia PIN systemu alarmowego w pliku XML 'basisInfo' po uwierzytelnieniu. Atakujący mogą uzyskać PIN z odpowiedzi serwera, co pozwala na ominięcie zabezpieczeń i dezaktywację systemu alarmowego bez dodatkowego uwierzytelnienia.
Model Ksenia Security lares (legacy) systemu automatyki domowej w wersji 1.6 zawiera podatność na niechroniony punkt końcowy, który pozwala uwierzytelnionym atakującym na przesyłanie binarnych obrazów systemu plików MPFS. Atakujący mogą wykorzystać tę podatność do nadpisania pamięci programu flash i potencjalnego wykonania dowolnego kodu na serwerze WWW systemu automatyki domowej.
Model legacy Ksenia Security lares w wersji 1.6 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia nieautoryzowanym atakującym uzyskanie dostępu administracyjnego. Atakujący mogą wykorzystać słabe domyślne dane administracyjne, aby przejąć pełną kontrolę nad systemem automatyki domowej.
JM-DATA ONU JF511-TV w wersji 1.0.67 wykorzystuje domyślne dane logowania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu do urządzenia z uprawnieniami administratora.

