Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-4665
Krytyczne

Wtyczka WordPress Contact Form CFDB7 w wersjach do 1.3.2 jest podatna na atak SQL injection przed uwierzytelnieniem, co prowadzi do niebezpiecznej deserializacji (PHP Object Injection). Problem wynika z niewystarczającej walidacji danych wejściowych w punktach końcowych wtyczki, co pozwala na wpływanie na zapytania backendowe w nieoczekiwany sposób.

CVE-2025-62368
Krytyczne

Taiga to platforma do zarządzania projektami typu open source. W wersjach 6.8.3 i wcześniejszych występuje podatność na zdalne wykonanie kodu w API Taiga z powodu niebezpiecznej deserializacji niezaufanych danych. Problem został naprawiony w wersji 6.9.0.

CVE-2025-61235
Krytyczne

W urządzeniu Dataphone A920 w wersji 2025.07.161103 odkryto problem związany z brakiem walidacji pakietów. Można stworzyć niestandardowy pakiet, który zawiera dowolne dane, co prowadzi do akceptacji pakietu przez urządzenie bez autoryzacji.

CVE-2025-60355
Krytyczne

Zhangyd-c OneBlog w wersji 2.3.9 i wcześniejszych był podatny na SSTI (Server-Side Template Injection) poprzez szablony FreeMarker.

CVE-2025-61128
Krytyczne

W podatności CVE-2025-61128 występuje przepełnienie bufora na stosie w oprogramowaniu układowym WAVLINK QUANTUM D3G/WL-WN530HG3 w wersji M30HG3_V240730 oraz prawdopodobnie w innych modelach WAVLINK. Atakujący mogą wykonać dowolny kod, wysyłając odpowiednio skonstruowaną wartość referrera w żądaniu POST do login.cgi.

CVE-2025-61043
Krytyczne

Wykryto podatność typu out-of-bounds read w Monkey's Audio 11.31, szczególnie w funkcji CAPECharacterHelper::GetUTF16FromUTF8. Problem wynika z niewłaściwego zarządzania długością wejściowego ciągu UTF-8, co może prowadzić do odczytu poza granicami pamięci.

CVE-2025-12380
Krytyczne

W wersji Firefox 142 istniała możliwość, że skompromitowany proces podrzędny mógł wywołać błąd use-after-free w procesie GPU lub przeglądarki za pomocą wywołań IPC związanych z WebGPU. Ta podatność mogła umożliwić ucieczkę z piaskownicy procesu podrzędnego.

CVE-2025-61385
Krytyczne

Podatność SQL injection w tlocke pg8000 w wersji 1.31.4 umożliwia zdalnym atakującym wykonywanie dowolnych poleceń SQL poprzez specjalnie przygotowany input w postaci listy Pythona do funkcji pg8000.native.literal.

CVE-2025-55754
Krytyczne

Podatność w Apache Tomcat związana z niewłaściwym neutralizowaniem sekwencji ucieczki ANSI w komunikatach logów. Atakujący mógł wykorzystać specjalnie przygotowany URL do wstrzyknięcia sekwencji, co mogło prowadzić do manipulacji konsolą i schowkiem w systemie Windows.

CVE-2025-34292
Krytyczne

Oprogramowanie Rox, używane przez platformę BeWelcome, zawiera podatność na wstrzykiwanie obiektów PHP wynikającą z deserializacji niezaufanych danych. Parametr POST `formkit_memory_recovery` oraz ciasteczko `bwRemember` są przekazywane do funkcji `unserialize()`, co umożliwia atakującemu wykonanie dowolnego kodu lub zapisanie plików na serwerze.

CVE-2025-61481
Krytyczne

W MikroTik RouterOS w wersji 7.14.2 oraz SwOS w wersji 2.18 występuje problem, który domyślnie udostępnia interfejs zarządzania WebFig przez niezabezpieczony protokół HTTP. Umożliwia to atakującemu przechwycenie danych logowania poprzez wykonanie wstrzykniętego kodu JavaScript w przeglądarce administratora.

CVE-2025-60291
Krytyczne

W systemie eTimeTrackLite Web do wersji 12.0 (20250704) odkryto lukę w kontroli uprawnień, która pozwala nieautoryzowanym atakującym na dostęp do określonych tras oraz modyfikację konfiguracji połączeń z bazą danych.

CVE-2025-62959
Krytyczne

W podatności CVE-2025-62959 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w aplikacji videowhisper Paid Videochat Turnkey Site w wersjach od n/a do 7.3.23. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na serwerze.

CVE-2025-60803
Krytyczne

Antabot White-Jotter w wersji do commita 9bcadc zawiera podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia, która występuje w komponencie /api/aaa;/../register.

CVE-2025-11253
Krytyczne

W podatności CVE-2025-11253 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Netty ERP przed wersją 1.1000.

CVE-2025-6440
Krytyczne

Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-61934
Krytyczne

W oprogramowaniu Productivity Suite w wersji v4.4.1.19 odkryto podatność związaną z nieograniczonym adresem IP. Umożliwia ona nieautoryzowanemu zdalnemu atakującemu interakcję z symulatorem PLC ProductivityService oraz odczyt, zapis lub usunięcie dowolnych plików i folderów na docelowej maszynie.

CVE-2025-58428
Krytyczne

Interfejs oparty na SOAP w systemie TLS4B ATG jest podatny z powodu dostępności przez handler usług webowych. Ta podatność umożliwia zdalnym atakującym z ważnymi poświadczeniami wykonywanie poleceń na poziomie systemu w systemie Linux.

CVE-2025-11023
Krytyczne

Podatność CVE-2025-11023 dotyczy oprogramowania AcBakImzala w wersjach przed 5.1.4, gdzie występuje możliwość lokalnego włączenia pliku PHP z niezaufanego źródła. Problem ten wynika z niewłaściwego zarządzania nazwami plików w instrukcjach include/require.

CVE-2025-47699
Krytyczne

W systemie integracji Gallagher Morpho występuje podatność, która umożliwia uwierzytelnionemu operatorowi z ograniczonymi uprawnieniami do wprowadzenia krytycznych zmian w lokalnych urządzeniach Morpho. Problem dotyczy serwera Command Centre w wersjach 9.30 przed vEL9.30.2482 (MR2), 9.20 przed vEL9.20.2819 (MR4), 9.10 przed vEL9.10.3672 (MR7), 9.00 przed vEL9.00.3831 (MR8) oraz wszystkich wersji 8.90 i wcześniejszych.

PoprzedniaStrona 210 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS