Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-22470
Krytyczne

Urządzenia CL4/6NX Plus oraz CL4/6NX-J Plus (model japoński) z wersjami oprogramowania układowego przed 1.15.5-r1 umożliwiają przesyłanie stworzonych złośliwych plików. Na systemie może zostać wykonany dowolny skrypt Lua z uprawnieniami roota.

CVE-2025-6994
Krytyczne

Wtyczka Reveal Listing autorstwa smartdatasoft dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.3 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'listing_user_role'.

CVE-2025-54594
Krytyczne

Biblioteka react-native-bottom-tabs w wersjach 0.9.2 i poniżej miała lukę w GitHub Actions, która pozwalała na wykonanie nieufnego kodu z zewnętrznego pull requesta w kontekście z uprawnieniami. Atakujący mógł stworzyć pull request z złośliwym skryptem preinstall w pliku package.json, co prowadziło do wykonania dowolnego kodu.

CVE-2013-10068
Krytyczne

Foxit Reader w wersjach do 5.4.5.0114, w tym wtyczka Foxit Reader Plugin 2.2.1.530, zawiera podatność na przepełnienie bufora na stosie w module npFoxitReaderPlugin.dll. Wczytanie pliku PDF z zdalnego hosta z nadmiernie długim ciągiem zapytania w URL może spowodować przepełnienie bufora, co pozwala zdalnym atakującym na wykonanie dowolnego kodu.

CVE-2012-10027
Krytyczne

Wtyczka WP-Property dla WordPressa w wersjach do 1.35.0 zawiera podatność na nieautoryzowane przesyłanie plików w skrypcie `uploadify.php`. Zdalny atakujący może przesłać dowolne pliki PHP do katalogu tymczasowego bez uwierzytelnienia, co prowadzi do zdalnego wykonania kodu.

CVE-2025-54982
Krytyczne

W Zscalerze wystąpiła nieprawidłowa weryfikacja podpisu kryptograficznego w mechanizmie uwierzytelniania SAML po stronie serwera, co umożliwiło nadużycie uwierzytelnienia.

CVE-2025-54119
Krytyczne

ADOdb to biblioteka klas PHP do obsługi baz danych, która w wersjach 5.22.9 i niższych ma problem z niewłaściwym escapowaniem parametrów zapytań. Może to pozwolić atakującemu na wykonanie dowolnych instrukcji SQL, gdy kod korzystający z ADOdb łączy się z bazą danych sqlite3 i wywołuje metody metaColumns(), metaForeignKeys() lub metaIndexes() z nieodpowiednio skonstruowaną nazwą tabeli.

CVE-2025-27212
Krytyczne

Nieprawidłowa walidacja danych wejściowych w niektórych urządzeniach UniFi Access może umożliwić atak typu Command Injection przez złośliwego aktora mającego dostęp do sieci zarządzania UniFi Access.

CVE-2025-50754
Krytyczne

Unisite CMS w wersji 5.0 zawiera podatność typu Cross-Site Scripting (XSS) w funkcjonalności 'Raport'. Złośliwy skrypt przesłany przez atakującego jest renderowany w panelu administracyjnym, co umożliwia przejęcie sesji administratora oraz wykonanie złośliwego kodu na serwerze.

CVE-2025-50341
Krytyczne

W systemie Axelor 5.2.4 wykryto podatność na wstrzykiwanie SQL typu Boolean-based przez parametr _domain. Atakujący może manipulować logiką zapytań SQL i określać warunki prawda/fałsz, co może prowadzić do ujawnienia danych lub dalszej eksploatacji.

CVE-2025-52239
Krytyczne

Podatność umożliwiająca dowolne przesyłanie plików w ZKEACMS v4.1 pozwala atakującym na wykonanie dowolnego kodu poprzez spreparowany plik.

CVE-2025-51390
KrytyczneEPSS 76%

W routerze TOTOLINK N600R w wersji oprogramowania V4.3.0cu.7647_B20210106 odkryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji setWiFiWpsConfig przez parametr pin.

CVE-2025-7710
Krytyczne

Wtyczka Brave Conversion Engine (PRO) dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 0.7.7. Problem wynika z niewłaściwego ograniczenia tożsamości podczas uwierzytelniania z Facebookiem.

CVE-2025-6077
Krytyczne

Oprogramowanie Partner Software oraz odpowiadająca mu aplikacja internetowa używają tego samego domyślnego loginu i hasła dla konta administratora we wszystkich wersjach.

CVE-2025-50870
Krytyczne

Institute-of-Current-Students w wersji 1.0 jest podatny na niewłaściwą kontrolę dostępu w punkcie końcowym mydetailsstudent.php. Parametr GET myds akceptuje adres e-mail jako dane wejściowe i bez weryfikacji tożsamości lub uprawnień zwraca osobiste informacje studenta.

CVE-2025-45150
Krytyczne

Podatność w LangChain-ChatGLM-Webui (commit ef829) wynika z nieprawidłowych uprawnień, co umożliwia atakującym dowolny podgląd i pobieranie wrażliwych plików poprzez spreparowane żądanie.

CVE-2025-52390
Krytyczne

Saurus CMS Community Edition od commita d886e5b0 (2010-04-23) jest podatny na atak typu SQL Injection w metodzie `prepareSearchQuery()` w pliku `FulltextSearch.class.php`. Aplikacja bezpośrednio łączy dane wejściowe dostarczone przez użytkownika (`$search_word`) z zapytaniami SQL bez ich sanitizacji, co umożliwia atakującym manipulację logiką SQL.

CVE-2025-50472
Krytyczne

Biblioteka modelscope/ms-swift w wersjach do 2.6.1 jest podatna na wykonanie dowolnego kodu poprzez deserializację niezaufanych danych w funkcji `load_model_meta()` klasy `ModelFileSystemCache()`. Atakujący mogą wykonać dowolny kod, tworząc złośliwy, serializowany ładunek `.mdl`, co umożliwia zdalne wykonanie kodu (RCE).

CVE-2025-50460
Krytyczne

W projekcie ms-swift w wersji 3.3.0 występuje podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną deserializacją w pliku tests/run.py przy użyciu yaml.load() z biblioteki PyYAML (wersje = 5.3.1). Atakujący, kontrolując zawartość pliku konfiguracyjnego YAML przekazywanego do parametru --run_config, może wykonać dowolny kod podczas deserializacji.

CVE-2019-19144
Krytyczne

W urządzeniach Quantum DXi6702 w wersji 2.3.0.3 (11449-53631 Build304) występuje podatność na wstrzykiwanie zewnętrznych encji XML poprzez punkt końcowy rest/Users?action=authenticate.

PoprzedniaStrona 215 z 547Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS