Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-66848
KrytyczneEPSS 56%

Routery JD Cloud NAS serii AX1800, AX3000, AX6600, BE6500, ER1 i ER2 w określonych wersjach oprogramowania zawierają podatność umożliwiającą nieautoryzowane zdalne wykonanie poleceń. Atakujący może wykorzystać tę lukę bez uwierzytelnienia, co prowadzi do pełnego przejęcia kontroli nad urządzeniem.

CVE-2025-52835
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w ConoHa przez GMO WING WordPress Migrator umożliwia przesyłanie powłok sieciowych na serwer WWW. Problem dotyczy WING WordPress Migrator w wersjach od n/a do 1.2.0 włącznie.

CVE-2025-15255
Krytyczne

W podatności CVE-2025-15255 zidentyfikowano problem w urządzeniu Tenda W6-S 1.0.0.4(510), który dotyczy nieznanej funkcji pliku /bin/httpd komponentu R7websSsecurityHandler. Manipulacja argumentem Cookie może prowadzić do przepełnienia bufora na stosie.

CVE-2025-68860
Krytyczne

Podatność CVE-2025-68860 dotyczy Mobile Builder, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.4.2 włącznie.

CVE-2025-68562
Krytyczne

Podatność CVE-2025-68562 w MapSVG firmy RomanCode umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji MapSVG od n/a do 8.7.3.

CVE-2025-69201
Krytyczne

Tugtainer to aplikacja do automatyzacji aktualizacji kontenerów Docker. W wersjach przed 1.15.1 istnieje możliwość wstrzykiwania dowolnych argumentów w `POST api/command/run` w tugtainer-agent, co stanowi poważne zagrożenie.

CVE-2025-68897
Krytyczne

W podatności CVE-2025-68897 występuje niewłaściwa kontrola generacji kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce IF AS Shortcode w wersjach od n/a do 1.2. Problem ten może być wykorzystany przez atakujących do wykonania nieautoryzowanego kodu.

CVE-2025-68952
Krytyczne

W wersji 0.0.60 systemu Eigent zidentyfikowano podatność na zdalne wykonanie kodu (RCE) przy użyciu jednego kliknięcia. Ta podatność umożliwia atakującemu wykonanie dowolnego kodu na maszynie lub serwerze ofiary.

CVE-2025-66203
Krytyczne

StreamVault to rozwiązanie do integracji pobierania wideo. Przed wersją 251126 występuje podatność na zdalne wykonanie kodu (RCE) w aplikacji stream-vault (SpiritApplication), która pozwala administratorom na konfigurowanie argumentów yt-dlp bez odpowiedniej walidacji.

CVE-2025-8769
Krytyczne

Aplikacja internetowa Telenium Online jest podatna z powodu skryptu Perl, który jest wywoływany do załadowania strony logowania. Z powodu niewłaściwej walidacji danych wejściowych, atakujący może wstrzyknąć dowolny kod Perl poprzez spreparowane żądanie HTTP, co prowadzi do zdalnego wykonania kodu na serwerze.

CVE-2019-25249
Krytyczne

Podatność CVE-2019-25249 dotyczy urządzenia devolo dLAN 500 AV Wireless+ w wersji 3.1.0-1, które zawiera lukę umożliwiającą obejście uwierzytelniania. Atakujący mogą włączyć ukryte usługi za pomocą skryptu htmlmgr CGI, co pozwala na uzyskanie dostępu do urządzenia bez hasła.

CVE-2019-25240
Krytyczne

Rifatron 5brid DVR zawiera podatność nieautoryzowaną w skrypcie animate.cgi, która umożliwia dostęp do transmisji wideo na żywo bez uwierzytelnienia. Atakujący mogą wykorzystać moduł Mobile Web Viewer, aby określając numery kanałów, uzyskać sekwencyjne zrzuty wideo bez konieczności logowania.

CVE-2019-25237
Krytyczne

Platforma V-SOL GPON/EPON OLT w wersji 2.03 zawiera podatność na eskalację uprawnień, która pozwala zwykłym użytkownikom uzyskać dostęp administracyjny poprzez manipulację parametrem roli użytkownika. Atakujący mogą wysłać spreparowane żądanie HTTP POST do punktu końcowego zarządzania użytkownikami z ustawioną wartością 'user_role_mod' na '1', aby podnieść swoje uprawnienia.

CVE-2019-25236
Krytyczne

iSeeQ Hybrid DVR WH-H4 w wersji 1.03R zawiera podatność nieautoryzowaną w skrypcie get_jpeg, która umożliwia dostęp do strumieni wideo na żywo. Atakujący mogą uzyskać zrzuty wideo z określonych kanałów kamer, wysyłając żądania do punktu końcowego /cgi-bin/get_jpeg bez autoryzacji.

CVE-2019-25235
Krytyczne

Smartwares HOME easy w wersji 1.0.9 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do stron administracyjnych poprzez wyłączenie JavaScript. Atakujący mogą przechodzić do wielu punktów końcowych administracyjnych, omijając walidację po stronie klienta i uzyskując dostęp do wrażliwych informacji systemowych.

CVE-2018-25154
Krytyczne

GNU Barcode w wersji 0.99 zawiera podatność na przepełnienie bufora w procesie kodowania Code 93, co pozwala atakującym na wywołanie uszkodzenia pamięci. Wykorzystując błędy graniczne podczas przetwarzania plików wejściowych, atakujący mogą potencjalnie wykonać dowolny kod na zaatakowanym systemie.

CVE-2018-25142
Krytyczne

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

CVE-2018-25135
Krytyczne

Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.

CVE-2018-25134
Krytyczne

Synaccess netBooter NP-02x/NP-08x w wersji 6.8 zawiera podatność na obejście uwierzytelniania w skrypcie webNewAcct.cgi, która pozwala nieautoryzowanym atakującym na tworzenie kont użytkowników z uprawnieniami administratora. Atakujący mogą wykorzystać brak kontroli, wysyłając odpowiednio skonstruowane żądania POST.

CVE-2025-13773
Krytyczne

Wtyczka Print Invoice & Delivery Notes dla WooCommerce w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.8.0 włącznie, przez funkcję 'WooCommerce_Delivery_Notes::update'. Brak weryfikacji uprawnień oraz nieprawidłowe zabezpieczenia w pliku 'template.php' umożliwiają nieautoryzowanym atakującym wykonanie kodu na serwerze.

PoprzedniaStrona 204 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS