Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Metoda SOAP importFile jest podatna na atak typu traversal katalogu. Nieautoryzowany zdalny atakujący może obejść ograniczenia ścieżki i przesyłać pliki do dowolnych lokalizacji.
W interfejsie zarządzania opartym na sieci web urządzenia NETLINK HG322G V1.0.00-231017 występuje niewłaściwa autoryzacja, która umożliwia zdalnemu, nieautoryzowanemu atakującemu eskalację uprawnień oraz zablokowanie dostępu do konta prawowitego administratora za pomocą odpowiednio skonstruowanych żądań HTTP.
Nieautoryzowany atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może wykorzystać brak serwerowych kontroli uwierzytelniania, aby ominąć ekran logowania w konsoli WorkExaminer Professional i uzyskać dostęp administracyjny do serwera. To umożliwia dostęp do wszystkich wrażliwych danych monitorujących, w tym zrzutów ekranu i naciśnięć klawiszy wszystkich użytkowników.
Wtyczka FormGent dla WordPressa w wersjach przed 1.0.4 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Podatność w silniku analizy behawioralnej systemu Windows 10 pozwala na ominięcie detekcji próbek złośliwego oprogramowania poprzez ich rekurencyjne uruchamianie, co prowadzi do wyczerpania zasobów systemowych. W efekcie kluczowe złośliwe zachowania mogą nie być rejestrowane ani raportowane.
W podatności CVE-2025-9574 występuje brak uwierzytelnienia dla krytycznej funkcji w urządzeniach ABB ALS-mini-s4 IP oraz ABB ALS-mini-s8 IP. Problem ten dotyczy wszystkich wersji oprogramowania układowego z numerem seryjnym od 2000 do 5166.
W wersjach Dolby UDC od 4.5 do 4.13 odkryto problem, który może prowadzić do awarii procesu dekodera DD+ podczas przetwarzania źle sformatowanego strumienia bitowego DD+. Błąd w obliczeniach długości zapisu może spowodować przepełnienie, co skutkuje zbyt małym przydzielonym buforem i nieskuteczną kontrolą dostępu do pamięci.
W aplikacji Bhabishya-123 E-commerce w wersji 1.0 występuje podatność na atak typu SQL Injection w punkcie końcowym signup.inc.php. Aplikacja bezpośrednio włącza niesanitizowane dane wejściowe użytkowników do zapytań SQL, co pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia i uzyskanie pełnego dostępu.
System zarządzania dokumentami opracowany przez Excellent Infotek posiada podatność na nieautoryzowane przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.
Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W wersjach 0.3.1 i wcześniejszych frameworka pyquokka, klasa FlightServer używa funkcji pickle.loads() do deserializacji danych akcji otrzymywanych od klientów Flight bez jakiejkolwiek sanitizacji lub walidacji. To stwarza możliwość wykonania zdalnego kodu przez atakujących, gdy FlightServer jest skonfigurowany do nasłuchiwania na 0.0.0.0.
Podatność na dowolne przesyłanie plików w SigningHub v8.6.8 umożliwia atakującym wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PDF.
Wersje ThingsBoard starsze niż 4.2.1 zawierają podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji przesyłania obrazów do galerii pulpitu nawigacyjnego. Atakujący może przesłać złośliwy plik SVG odwołujący się do zdalnego adresu URL, co może spowodować, że serwer zainicjuje niechciane żądania wychodzące.
Wszystkie wersje IDE Windsurf zawierają podatność typu przejście ścieżki, która umożliwia atakującemu odczyt i zapis dowolnych lokalnych plików w obrębie oraz poza aktualnymi projektami na systemie użytkownika końcowego. Do podatności można uzyskać dostęp bezpośrednio oraz poprzez pośrednie wstrzykiwanie poleceń.
W podatności CVE-2025-60279 w Illia Cloud illia-Builder przed wersją 4.8.5 występuje luka typu server-side request forgery (SSRF), która pozwala uwierzytelnionym użytkownikom na wysyłanie dowolnych żądań do wewnętrznych usług za pośrednictwem API. Atakujący może wykorzystać tę lukę do enumeracji otwartych portów na podstawie różnic w odpowiedziach oraz interakcji z wewnętrznymi usługami.
W systemie PluXml CMS w edytorze motywów wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE). Problem dotyczy pliku minify.php w domyślnym katalogu motywu, który może zostać nadpisany przez uwierzytelnionego administratora dowolnym kodem PHP.
W wersjach frameworka Keras od 3.11.0 do 3.11.2 może wystąpić deserializacja nieufnych danych, co pozwala na uruchomienie dowolnego kodu na systemie końcowego użytkownika. Złośliwie przesłany plik Keras zawierający klasę TorchModuleWrapper może zostać załadowany mimo włączonego trybu bezpiecznego.
Niektóre wersje produktu iSecure Center firmy Hikvision zawierają niewystarczającą walidację parametrów, co prowadzi do podatności na wstrzykiwanie poleceń. Atakujący mogą wykorzystać tę lukę, aby uzyskać uprawnienia platformy i wykonywać dowolne polecenia w systemie.
Niektóre wersje produktu iSecure Center firmy Hikvision mają lukę związaną z niewłaściwą kontrolą przesyłania plików. Z powodu niewłaściwej weryfikacji plików do przesłania, atakujący mogą przesyłać złośliwe pliki na serwer.
Wersje pakietu mammoth od 0.3.25 do przed 1.11.0 są podatne na atak typu Directory Traversal z powodu braku walidacji ścieżek lub typów plików podczas przetwarzania pliku docx zawierającego obraz z zewnętrznym linkiem. Atakujący może odczytać dowolne pliki na systemie, w którym odbywa się konwersja, lub spowodować nadmierne zużycie zasobów.

