Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_qr_code_to_db() we wszystkich wersjach do i włącznie z 1.2.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Flowise w wersjach 3.0.1 do 3.0.8 oraz wszystkich późniejszych z włączoną opcją 'ALLOW_BUILTIN_DEP' zawiera podatność na zdalne wykonanie kodu (RCE) z ominięciem sandboksa Node VM. Wynika to z niebezpiecznego użycia zintegrowanych modułów Puppeteer i Playwright w środowisku wykonawczym nodevm.
W Firefoxie 143 i Thunderbirdu 143 występuje błąd związany z bezpieczeństwem pamięci, który wykazuje oznaki uszkodzenia pamięci. Istnieje przypuszczenie, że przy wystarczającym wysiłku mógłby zostać wykorzystany do uruchomienia dowolnego kodu.
W wersji Thunderbird 143 wystąpiła podatność związana z używaniem natywnego API wiadomości przez rozszerzenia internetowe na systemie Windows, co mogło prowadzić do awarii spowodowanych korupcją pamięci typu use-after-free. Podatność ta została naprawiona w wersjach Firefox 144 i Thunderbird 144.
Podatność CVE-2025-11717 dotyczy przeglądarki Firefox, która wyświetla czarny ekran podczas przełączania się między aplikacjami na Androidzie, jeśli ostatnio używana była ekran związany z hasłem. Wcześniej, przed wersją Firefox 144, ekran edycji hasła był widoczny.
Podatność CVE-2025-11710 dotyczy procesu przeglądarki, który mógł ujawniać fragmenty swojej pamięci do skompromitowanego procesu za pomocą złośliwych wiadomości IPC. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
Podatność CVE-2025-11709 pozwala na wywołanie odczytów i zapisów poza dozwolonym zakresem w bardziej uprzywilejowanym procesie przez skompromitowany proces webowy, wykorzystując zmanipulowane tekstury WebGL. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
W podatności CVE-2025-11708 występuje błąd use-after-free w funkcji MediaTrackGraphImpl::GetInstance(). Problem ten został naprawiony w wersjach Firefox 144, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.
Podatność CVE-2025-10610 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Winsure. Problem ten dotyczy wersji oprogramowania do 21.08.2025.
Zidentyfikowano podatność w urządzeniach SIMATIC CP 1542SP-1, CP 1542SP-1 IRC, CP 1543SP-1 oraz SIPLUS ET 200SP, które są w wersjach poniżej V2.4.24. Problemy dotyczą niewłaściwej autoryzacji połączeń konfiguracyjnych, co może umożliwić nieautoryzowanemu atakującemu zdalny dostęp do danych konfiguracyjnych.
Produkt ZXCDN firmy ZTE jest podatny na lukę w zabezpieczeniach Struts, która umożliwia zdalne wykonanie kodu (RCE). Nieautoryzowany atakujący może zdalnie wykonywać polecenia z uprawnieniami niebędącymi uprawnieniami administratora.
Usługa druku SAP (SAPSprint) nie przeprowadza wystarczającej walidacji informacji o ścieżkach dostarczanych przez użytkowników. Nieautoryzowany atakujący może przejść do katalogu nadrzędnego i nadpisać pliki systemowe, co prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.
Brak weryfikacji typu pliku lub jego zawartości w SAP Supplier Relationship Management umożliwia uwierzytelnionemu atakującemu przesyłanie dowolnych plików. Pliki te mogą zawierać pliki wykonywalne, które mogą być pobrane i uruchomione przez użytkownika, co stwarza ryzyko złośliwego oprogramowania.
W systemie Aykome License Tracking występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji przed datą 06.10.2025.
Podatność typu OS Command Injection w aplikacji Station Launcher na platformie 3DEXPERIENCE, od wersji R2022x do R2025x, może umożliwić atakującemu wykonanie dowolnego kodu na maszynie użytkownika.
Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie wszystkich plików w dowolnym katalogu na serwerze.
Wtyczka Ovatheme Events Manager dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji process_checkout() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka WP Freeio dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.21. Problem wynika z funkcji process_register(), która nie ogranicza ról użytkowników podczas rejestracji.
W systemie Simple Car Rental System 1.0 wykryto problem z pominięciem uprawnień, który umożliwia użytkownikom o niskich uprawnieniach fałszowanie sesji o wysokich uprawnieniach i wykonywanie wrażliwych operacji.
W systemie Computer Laboratory System 1.0 od code-projects wykryto podatność na wstrzykiwanie SQL. Poprzez wprowadzenie uniwersalnego hasła w polu Password na stronie logowania można ominąć proces uwierzytelniania.

