Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-60062
Krytyczne

W podatności CVE-2025-60062 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w tPlayer w wersjach od n/a do 1.2.1.6.

CVE-2025-58951
Krytyczne

W podatności CVE-2025-58951 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie zarządzania rezerwacjami miejsc smartcms Advance dla WooCommerce. Problem ten dotyczy wersji od n/a do 3.1 włącznie.

CVE-2025-54723
Krytyczne

Podatność CVE-2025-54723 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes DentiCare, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji DentiCare od n/a do poniżej 1.4.3.

CVE-2025-53433
Krytyczne

W podatności CVE-2025-53433 występuje niewłaściwe zarządzanie nazwą pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wersji EasyEat od n/a do 1.9.0 włącznie.

CVE-2025-68435
Krytyczne

Zerobyte to narzędzie do automatyzacji kopii zapasowych, które w wersjach przed 0.18.5 i 0.19.0 zawiera podatność na obejście uwierzytelniania. Problem polega na tym, że middleware uwierzytelniające nie jest prawidłowo stosowane do punktów końcowych API, co umożliwia dostęp do nich bez ważnych poświadczeń sesji.

CVE-2025-68145
Krytyczne

W wersjach mcp-server-git przed 2025.12.17, serwer uruchamiany z flagą --repository nie weryfikował, czy argumenty repo_path w kolejnych wywołaniach narzędzi mieszczą się w skonfigurowanej ścieżce. To mogło pozwolić na operacje na innych repozytoriach dostępnych dla procesu serwera.

CVE-2025-43526
Krytyczne

Problem dotyczy niewłaściwej walidacji adresów URL w Safari, co może pozwolić na wykorzystanie interfejsów API Web w kontekście, który powinien być ograniczony. Został naprawiony w wersji Safari 26.2 oraz macOS Tahoe 26.2.

CVE-2025-43428
Krytyczne

Problem z konfiguracją został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Problem ten został naprawiony w iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 oraz visionOS 26.2, gdzie zdjęcia w albumie Ukryte mogą być przeglądane bez uwierzytelnienia.

CVE-2025-44005
Krytyczne

Atakujący może obejść kontrole autoryzacji i zmusić dostawcę Step CA ACME lub SCEP do tworzenia certyfikatów bez ukończenia określonych kontroli autoryzacji protokołu.

CVE-2025-68270
Krytyczne

Platforma Open edX to system zarządzania nauczaniem. Przed wprowadzeniem poprawki, użytkownicy z rolą CourseLimitedStaffRole mogli uzyskać dostęp do edytowania kursów w studio, jeśli przyznano im tę rolę na poziomie organizacji, a nie kursu.

CVE-2025-33210
Krytyczne

NVIDIA Isaac Lab zawiera podatność na deserializację. Udane wykorzystanie tej podatności może prowadzić do wykonania dowolnego kodu.

CVE-2023-53899
Krytyczne

PodcastGenerator w wersji 3.2.9 zawiera podatność na ślepą serwerową fałszywą prośbę (SSRF), która umożliwia atakującym wstrzykiwanie XML w formularzu przesyłania odcinka. Atakujący mogą manipulować parametrem 'shortdesc', aby wywołać zewnętrzne żądania HTTP do dowolnych punktów końcowych podczas tworzenia odcinka podcastu.

CVE-2025-65319
Krytyczne

Podatność w Blue Mail 1.140.103 i wcześniejszych wersjach powoduje, że podczas korzystania z funkcji interakcji z załącznikami dokumenty są zapisywane w systemie plików bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.

CVE-2025-65318
Krytyczne

Podatność w Canary Mail 5.1.40 i wcześniejszych wersjach powoduje, że podczas interakcji z załącznikami dokumenty są zapisywane bez znacznika Mark-of-the-Web. Umożliwia to atakującym ominięcie wbudowanych mechanizmów ochrony plików systemu Windows oraz oprogramowania firm trzecich.

CVE-2025-13888
Krytyczne

W OpenShift GitOps znaleziono lukę, która pozwala administratorom przestrzeni nazw na tworzenie niestandardowych zasobów ArgoCD, co może prowadzić do przyznania podwyższonych uprawnień w innych przestrzeniach nazw, w tym w przestrzeniach uprzywilejowanych. Uwierzytelniony atakujący może wykorzystać te uprawnienia do tworzenia uprzywilejowanych obciążeń działających na węzłach głównych, co skutkuje dostępem root do całego klastra.

CVE-2025-14156
Krytyczne

Wtyczka Fox LMS – WordPress LMS Plugin dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.5.1 włącznie. Problem wynika z niewłaściwej walidacji parametru 'role' podczas tworzenia nowych użytkowników przez punkt końcowy REST API `/fox-lms/v1/payments/create-order`.

CVE-2025-14665
Krytyczne

W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /goform/DhcpListClient komponentu obsługi żądań HTTP. Manipulacja argumentem 'page' prowadzi do przepełnienia bufora na stosie.

CVE-2025-14440
Krytyczne

Wtyczka JAY Login & Register dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.4.01 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia w funkcji 'jay_login_register_process_switch_back' z wartością ciasteczka 'jay_login_register_process_switch_back'.

CVE-2025-11693
Krytyczne

Wtyczka Export WP Page to Static HTML & PDF dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.4 włącznie, poprzez publicznie dostępne pliki cookies.txt zawierające ciasteczka uwierzytelniające. Umożliwia to nieautoryzowanym atakującym dostęp do ciasteczek, które mogły zostać wstrzyknięte do pliku dziennika, jeśli administrator strony uruchomił kopię zapasową przy użyciu określonej roli użytkownika, takiej jak 'administrator'.

CVE-2025-10738
Krytyczne

Wtyczka URL Shortener dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'analytic_id' we wszystkich wersjach do 3.0.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

PoprzedniaStrona 207 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS