Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-63747
Krytyczne

QaTraq 6.9.2 zawiera domyślne dane logowania do konta administracyjnego, które są aktywne w standardowej instalacji. Pozwala to na natychmiastowe zalogowanie się przez stronę logowania aplikacji webowej. Atakujący, który ma dostęp do strony logowania, może uzyskać pełne uprawnienia administracyjne.

CVE-2025-9501
Krytyczne

Wtyczka W3 Total Cache dla WordPressa w wersjach przed 2.8.13 jest podatna na wstrzykiwanie poleceń przez funkcję _parse_dynamic_mfunc. Umożliwia to nieautoryzowanym użytkownikom wykonywanie poleceń PHP poprzez przesłanie komentarza z złośliwym ładunkiem do posta.

CVE-2025-13284
Krytyczne

ThinPLUS opracowany przez ThinPLUS ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

CVE-2025-58083
Krytyczne

Brama Lynx+ firmy General Industrial Controls ma brak krytycznej autoryzacji w wbudowanym serwerze WWW, co może umożliwić atakującemu zdalne zresetowanie urządzenia.

CVE-2025-59367
Krytyczne

Zidentyfikowano podatność na obejście uwierzytelniania w niektórych routerach serii DSL, która może umożliwić zdalnym atakującym uzyskanie nieautoryzowanego dostępu do dotkniętego systemu.

CVE-2025-56385
Krytyczne

Podatność SQL injection w funkcji logowania WellSky Harmony 4.1.0.2.83 w endpointcie 'xmHarmony.asp'. Parametr 'TXTUSERID' nie jest odpowiednio sanityzowany przed użyciem w zapytaniu SQL. Udane wykorzystanie może prowadzić do ominięcia uwierzytelniania, wycieku danych lub pełnego przejęcia bazy danych.

CVE-2025-60724
Krytyczne

Przepełnienie bufora oparte na stercie w składniku graficznym Microsoftu umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2025-13026
Krytyczne

Podatność CVE-2025-13026 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13024
Krytyczne

Podatność CVE-2025-13024 dotyczy błędnej kompilacji Just-In-Time (JIT) w silniku JavaScript. Problem ten został naprawiony w wersjach Firefox 145 oraz Thunderbird 145.

CVE-2025-13023
Krytyczne

Podatność CVE-2025-13023 dotyczy ucieczki z piaskownicy spowodowanej nieprawidłowymi warunkami brzegowymi w komponencie Graphics: WebGPU. Została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13022
Krytyczne

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-13021
Krytyczne

W komponentach Graphics: WebGPU występują nieprawidłowe warunki graniczne, co może prowadzić do potencjalnych problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 145 i Thunderbird 145.

CVE-2025-8324
Krytyczne

Wersje 6170 i wcześniejsze oprogramowania Zohocorp ManageEngine Analytics Plus są podatne na nieautoryzowaną injekcję SQL z powodu niewłaściwej konfiguracji filtrów.

CVE-2025-12539
Krytyczne

Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.

CVE-2025-12813
Krytyczne

Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.

CVE-2025-11457
Krytyczne

Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.

CVE-2025-11170
Krytyczne

Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-42890
Krytyczne

SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.

CVE-2025-42887
Krytyczne

Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2025-12868
Krytyczne

Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.

PoprzedniaStrona 214 z 570Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS