Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-10041
Krytyczne

Wtyczka Flex QR Code Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_qr_code_to_db() we wszystkich wersjach do i włącznie z 1.2.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-34267
KrytyczneEPSS 93%

Flowise w wersjach 3.0.1 do 3.0.8 oraz wszystkich późniejszych z włączoną opcją 'ALLOW_BUILTIN_DEP' zawiera podatność na zdalne wykonanie kodu (RCE) z ominięciem sandboksa Node VM. Wynika to z niebezpiecznego użycia zintegrowanych modułów Puppeteer i Playwright w środowisku wykonawczym nodevm.

CVE-2025-11721
Krytyczne

W Firefoxie 143 i Thunderbirdu 143 występuje błąd związany z bezpieczeństwem pamięci, który wykazuje oznaki uszkodzenia pamięci. Istnieje przypuszczenie, że przy wystarczającym wysiłku mógłby zostać wykorzystany do uruchomienia dowolnego kodu.

CVE-2025-11719
Krytyczne

W wersji Thunderbird 143 wystąpiła podatność związana z używaniem natywnego API wiadomości przez rozszerzenia internetowe na systemie Windows, co mogło prowadzić do awarii spowodowanych korupcją pamięci typu use-after-free. Podatność ta została naprawiona w wersjach Firefox 144 i Thunderbird 144.

CVE-2025-11717
Krytyczne

Podatność CVE-2025-11717 dotyczy przeglądarki Firefox, która wyświetla czarny ekran podczas przełączania się między aplikacjami na Androidzie, jeśli ostatnio używana była ekran związany z hasłem. Wcześniej, przed wersją Firefox 144, ekran edycji hasła był widoczny.

CVE-2025-11710
Krytyczne

Podatność CVE-2025-11710 dotyczy procesu przeglądarki, który mógł ujawniać fragmenty swojej pamięci do skompromitowanego procesu za pomocą złośliwych wiadomości IPC. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-11709
Krytyczne

Podatność CVE-2025-11709 pozwala na wywołanie odczytów i zapisów poza dozwolonym zakresem w bardziej uprzywilejowanym procesie przez skompromitowany proces webowy, wykorzystując zmanipulowane tekstury WebGL. Problem został naprawiony w wersjach Firefox 144, Firefox ESR 115.29, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-11708
Krytyczne

W podatności CVE-2025-11708 występuje błąd use-after-free w funkcji MediaTrackGraphImpl::GetInstance(). Problem ten został naprawiony w wersjach Firefox 144, Firefox ESR 140.4, Thunderbird 144 oraz Thunderbird 140.4.

CVE-2025-10610
Krytyczne

Podatność CVE-2025-10610 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Winsure. Problem ten dotyczy wersji oprogramowania do 21.08.2025.

CVE-2025-40771
Krytyczne

Zidentyfikowano podatność w urządzeniach SIMATIC CP 1542SP-1, CP 1542SP-1 IRC, CP 1543SP-1 oraz SIPLUS ET 200SP, które są w wersjach poniżej V2.4.24. Problemy dotyczą niewłaściwej autoryzacji połączeń konfiguracyjnych, co może umożliwić nieautoryzowanemu atakującemu zdalny dostęp do danych konfiguracyjnych.

CVE-2025-46581
Krytyczne

Produkt ZXCDN firmy ZTE jest podatny na lukę w zabezpieczeniach Struts, która umożliwia zdalne wykonanie kodu (RCE). Nieautoryzowany atakujący może zdalnie wykonywać polecenia z uprawnieniami niebędącymi uprawnieniami administratora.

CVE-2025-42937
Krytyczne

Usługa druku SAP (SAPSprint) nie przeprowadza wystarczającej walidacji informacji o ścieżkach dostarczanych przez użytkowników. Nieautoryzowany atakujący może przejść do katalogu nadrzędnego i nadpisać pliki systemowe, co prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42910
Krytyczne

Brak weryfikacji typu pliku lub jego zawartości w SAP Supplier Relationship Management umożliwia uwierzytelnionemu atakującemu przesyłanie dowolnych plików. Pliki te mogą zawierać pliki wykonywalne, które mogą być pobrane i uruchomione przez użytkownika, co stwarza ryzyko złośliwego oprogramowania.

CVE-2025-6919
Krytyczne

W systemie Aykome License Tracking występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji przed datą 06.10.2025.

CVE-2025-9976
Krytyczne

Podatność typu OS Command Injection w aplikacji Station Launcher na platformie 3DEXPERIENCE, od wersji R2022x do R2025x, może umożliwić atakującemu wykonanie dowolnego kodu na maszynie użytkownika.

CVE-2025-6439
Krytyczne

Wtyczka WooCommerce Designer Pro dla WordPressa, używana przez motyw Pricom - Printing Company & Design Services, jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'wcdp_save_canvas_design_ajax' we wszystkich wersjach do 1.9.26 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie wszystkich plików w dowolnym katalogu na serwerze.

CVE-2025-6553
Krytyczne

Wtyczka Ovatheme Events Manager dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji process_checkout() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-11533
Krytyczne

Wtyczka WP Freeio dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.21. Problem wynika z funkcji process_register(), która nie ogranicza ról użytkowników podczas rejestracji.

CVE-2025-60306
Krytyczne

W systemie Simple Car Rental System 1.0 wykryto problem z pominięciem uprawnień, który umożliwia użytkownikom o niskich uprawnieniach fałszowanie sesji o wysokich uprawnieniach i wykonywanie wrażliwych operacji.

CVE-2025-60307
Krytyczne

W systemie Computer Laboratory System 1.0 od code-projects wykryto podatność na wstrzykiwanie SQL. Poprzez wprowadzenie uniwersalnego hasła w polu Password na stronie logowania można ominąć proces uwierzytelniania.

PoprzedniaStrona 217 z 566Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS