Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2024-58311
Krytyczne

System Dormakaba Saflok 6000 zawiera przewidywalny algorytm generowania kluczy, który umożliwia atakującym wyprowadzenie kluczy dostępu do kart na podstawie 32-bitowego unikalnego identyfikatora. Atakujący mogą wykorzystać deterministyczny proces generowania kluczy, obliczając ważne klucze dostępu za pomocą prostej transformacji matematycznej unikalnego identyfikatora karty.

CVE-2024-58299
Krytyczne

Serwer FTP PCMan w wersji 2.0 zawiera podatność na przepełnienie bufora w komendzie 'pwd', co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowany ładunek podczas procesu logowania FTP, aby nadpisać pamięć i potencjalnie uzyskać dostęp do systemu.

CVE-2024-14010
Krytyczne

Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.

CVE-2025-65854
Krytyczne

Podatność w funkcji zaplanowanych zadań MineAdmin v3.x wynika z nieprawidłowych uprawnień, co umożliwia atakującym wykonanie dowolnych poleceń i całkowite przejęcie konta.

CVE-2025-14344
Krytyczne

Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-12963
Krytyczne

Wtyczka LazyTasks – Zarządzanie projektami i zadaniami z współpracą, Kanban i wykresami Gantta dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.2.29. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przez punkt końcowy REST API 'wp-json/lazytasks/api/v1/user/role/edit/'.

CVE-2025-13764
Krytyczne

Wtyczka WP CarDealer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.16. Problem wynika z funkcji 'WP_CarDealer_User::process_register', która nie ogranicza ról użytkowników, z jakimi można się rejestrować.

CVE-2025-67511
Krytyczne

Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.

CVE-2025-67510
Krytyczne

Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.

CVE-2025-13607
Krytyczne

Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.

CVE-2025-13955
Krytyczne

W funkcjonalności punktu dostępowego EZCast Pro II przed wersją 1.17478.177 występuje przewidywalne domyślne hasło Wi-Fi, co umożliwia atakującym w zasięgu Wi-Fi uzyskanie dostępu do urządzenia poprzez obliczenie domyślnego hasła na podstawie widocznych identyfikatorów urządzenia.

CVE-2025-13954
Krytyczne

W wersjach EZCast Pro II przed 1.17478.177 występują twardo zakodowane klucze kryptograficzne w interfejsie administracyjnym, co pozwala atakującym na ominięcie kontroli autoryzacji i uzyskanie pełnego dostępu do interfejsu administracyjnego.

CVE-2025-13613
Krytyczne

Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.

CVE-2025-67506
Krytyczne

PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.

CVE-2025-66039
Krytyczne

Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.

CVE-2025-67489
Krytyczne

Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2021-47731
Krytyczne

Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.

CVE-2021-47728
Krytyczne

Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.

CVE-2025-64113
Krytyczne

Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.

CVE-2025-65882
Krytyczne

W OpenMPTCProuter do wersji 0.64 w pliku common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c w funkcji create_xor_ipad_opad wykryto podatność umożliwiającą potencjalny zapis dowolnych plików lub wykonanie dowolnych poleceń.

PoprzedniaStrona 208 z 568Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS