Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-6895
Krytyczne

Wtyczka Melapress Login Security dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku autoryzacji w funkcji get_valid_user_based_on_token() w wersjach od 2.1.0 do 2.1.1. Umożliwia to nieautoryzowanym atakującym, którzy znają dowolną wartość meta użytkownika, ominięcie kontroli uwierzytelniania i zalogowanie się jako ten użytkownik.

CVE-2025-54416
Krytyczne

W repozytorium tj-actions/branch-names, które zawiera workflow do pobierania nazw gałęzi lub tagów, zidentyfikowano krytyczną podatność w wersjach 8.2.1 i poniżej. Umożliwia ona wykonanie dowolnych poleceń w downstream workflows z powodu niespójnej sanitizacji wejścia i nieodpowiednio zabezpieczonego wyjścia.

CVE-2025-29631
Krytyczne

Oprogramowanie układowe Gardyn Home Kit przed wersją master.619, aplikacja mobilna Home Kit przed wersją 2.11.0 oraz API chmurowe Home Kit przed wersją 2.12.2026 umożliwiają wstrzykiwanie poleceń przez podatne metody, które nie oczyszczają danych wejściowych przed przekazaniem ich do systemu operacyjnego do wykonania. Ta podatność może pozwolić atakującemu na wykonanie dowolnych poleceń systemowych na docelowym urządzeniu Home Kit.

CVE-2025-29629
Krytyczne

Oprogramowanie układowe Gardyn Home Kit przed wersją master.619, aplikacja mobilna Home Kit przed wersją 2.11.0 oraz API chmurowe Home Kit przed wersją 2.12.2026 używają słabych domyślnych poświadczeń do dostępu przez secure shell. Może to prowadzić do uzyskania dostępu przez atakujących do narażonych urządzeń Gardyn Home Kit.

CVE-2025-29628
Krytyczne

W oprogramowaniu układowym Gardyn Home Kit przed wersją master.619, aplikacji mobilnej Home Kit przed wersją 2.11.0 oraz API chmurowego Home Kit przed wersją 2.12.2026, ciąg połączenia z Gardyn Azure IoT Hub jest pobierany przez niezabezpieczone połączenie HTTP. To naraża ciąg na przechwycenie i modyfikację w ataku typu Man-in-the-Middle.

CVE-2025-6260
Krytyczne

Wbudowany serwer WWW w termostacie z wymienionych wersji zawiera podatność, która pozwala nieautoryzowanym atakującym, zarówno w lokalnej sieci, jak i z Internetu przez router z ustawionym przekierowaniem portów, na bezpośredni dostęp do serwera WWW termostatu oraz resetowanie danych logowania użytkowników poprzez manipulację określonymi elementami interfejsu webowego.

CVE-2025-4784
Krytyczne

W podatności CVE-2025-4784 w systemie Moderec Tourtella występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection. Problem dotyczy wersji przed 26.05.2025.

CVE-2025-5243
Krytyczne

Podatność CVE-2025-5243 w SMG Software Information Portal umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach oraz niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemowych, co prowadzi do wstrzykiwania kodu i możliwości przesłania powłoki sieciowej na serwerze WWW.

CVE-2025-4822
Krytyczne

W podatności CVE-2025-4822 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Bayraktar Solar Energies ScadaWatt Otopilot. Problem dotyczy wersji przed 27.05.2025.

CVE-2025-6441
Krytyczne

Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.

CVE-2025-6380
Krytyczne

Wtyczka ONLYOFFICE Docs dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji w swoim punkcie końcowym oo.callback REST w wersjach od 1.1.0 do 2.2.0. Wtyczka weryfikuje jedynie, czy dostarczony, zaszyfrowany identyfikator załącznika odpowiada istniejącemu postowi załącznika, nie weryfikując tożsamości ani uprawnień żądającego.

CVE-2025-7852
Krytyczne

Wtyczka WPBookit dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji image_upload_handle() w wersjach do 1.0.6 włącznie. Funkcja ta nie ogranicza dozwolonych rozszerzeń ani typów MIME, co umożliwia atakującym przesyłanie dowolnych plików na serwer.

CVE-2025-7437
Krytyczne

Wtyczka Ebook Store dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji ebook_store_save_form we wszystkich wersjach do i włącznie z 5.8012. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-41240
Krytyczne

Trzy wykresy Bitnami Helm montują sekrety Kubernetes w przewidywalnej ścieżce (/opt/bitnami/*/secrets), która znajduje się w katalogu dokumentów serwera WWW. W dotkniętych wersjach może to prowadzić do nieautoryzowanego dostępu do wrażliwych poświadczeń przez HTTP/S.

CVE-2016-15044
KrytyczneEPSS 70%

Podatność zdalnego wykonania kodu w Kaltura przed wersją 11.1.0-2 wynika z niebezpiecznej deserializacji danych kontrolowanych przez użytkownika w module keditorservices. Nieuwierzytelniony atakujący może wysłać spreparowany serializowany obiekt PHP w parametrze GET kdata do endpointu redirectWidgetCmd, co prowadzi do wykonania dowolnego kodu PHP w kontekście procesu serwera WWW.

CVE-2025-41687
Krytyczne

Nieautoryzowany zdalny atakujący może wykorzystać przepełnienie bufora na stosie w API zarządzania u-link, aby uzyskać pełny dostęp do dotkniętych urządzeń.

CVE-2025-8044
Krytyczne

W przeglądarce Firefox 140 i kliencie pocztowym Thunderbird 140 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może prowadzić do możliwości wykonania dowolnego kodu.

CVE-2025-8043
Krytyczne

Podatność CVE-2025-8043 dotyczy błędnego skracania adresów URL w aplikacji Focus, które były obcinane na początku zamiast wokół źródła. Problem ten został naprawiony w wersji Firefox 141.

CVE-2025-8038
Krytyczne

Thunderbird zignorował ścieżki podczas sprawdzania ważności nawigacji w ramce, co może prowadzić do nieautoryzowanego dostępu do zasobów. Podatność ta została naprawiona w wersjach Firefox 141, Firefox ESR 140.1, Thunderbird 141 oraz Thunderbird 140.1.

CVE-2025-8037
Krytyczne

Ustawienie bezimiennego ciasteczka z znakiem równości w wartości powodowało zasłonięcie innych ciasteczek. Problem występował nawet, gdy bezimienne ciasteczko było ustawione przez HTTP, a zasłonięte ciasteczko miało atrybut `Secure`. Podatność została naprawiona w Firefox 141, Firefox ESR 140.1, Thunderbird 141 oraz Thunderbird 140.1.

PoprzedniaStrona 221 z 552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS