Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2025-57515
Krytyczne

W systemie Uniclare Student Portal v2 zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL przez podatne pola wejściowe, co pozwala na wykonanie funkcji opóźnienia czasowego w celu wnioskowania o odpowiedziach bazy danych.

CVE-2025-60965
KrytyczneEPSS 69%

W serwerze czasu sieciowego EndRun Technologies Sonoma D12 (GPS) z oprogramowaniem F/W 6010-0071-000 Ver 4.00 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Umożliwia ona atakującemu zdalne wykonanie dowolnego kodu, wywołanie odmowy usługi, eskalację uprawnień, pozyskanie wrażliwych informacji oraz inne nieokreślone skutki.

CVE-2025-60964
KrytyczneEPSS 69%

W serwerze czasu sieciowego EndRun Technologies Sonoma D12 (GPS) z oprogramowaniem F/W 6010-0071-000 Ver 4.00 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Umożliwia ona atakującemu zdalne wykonanie dowolnego kodu, wywołanie odmowy usługi, eskalację uprawnień, pozyskanie wrażliwych informacji oraz inne nieokreślone skutki.

CVE-2025-60957
KrytyczneEPSS 68%

Podatność typu OS Command Injection w serwerze czasu sieciowego EndRun Technologies Sonoma D12 (GPS) z oprogramowaniem F/W 6010-0071-000 Ver 4.00 umożliwia atakującym zdalne wykonanie dowolnego kodu, przeprowadzenie ataku typu Denial of Service (DoS), eskalację uprawnień oraz uzyskanie dostępu do wrażliwych informacji.

CVE-2025-57247
Krytyczne

Kontrakt inteligentny BATBToken zawiera nieprawidłową implementację kontroli dostępu w funkcjach zarządzania białą listą. Funkcje setColdWhiteList() i setSpecialAddress() są zadeklarowane jako publiczne, co pozwala każdemu użytkownikowi na obejście ograniczeń transferowych i manipulację ustawieniami specjalnych adresów.

CVE-2025-59159
Krytyczne

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.13.4 interfejs webowy SillyTavern jest podatny na ataki DNS rebinding, co pozwala atakującym na instalację złośliwych rozszerzeń, odczyt czatów oraz wstrzykiwanie dowolnego HTML w celu przeprowadzania ataków phishingowych.

CVE-2025-9485
Krytyczne

Wtyczka OAuth Single Sign On – SSO (OAuth Client) dla WordPressa jest podatna na niewłaściwą weryfikację podpisu kryptograficznego w wersjach do 6.26.12 włącznie. Problem wynika z niebezpiecznego przetwarzania tokenów JWT bez weryfikacji w funkcji `get_resource_owner_from_id_token`.

CVE-2025-49844
Krytyczne

Redis to otwartoźródłowa baza danych w pamięci, która zapisuje dane na dysku. Wersje 8.2.1 i wcześniejsze pozwalają uwierzytelnionemu użytkownikowi na wykorzystanie specjalnie przygotowanego skryptu Lua do manipulacji zbieraczem śmieci, co może prowadzić do wykorzystania podatności use-after-free i potencjalnie do zdalnego wykonania kodu.

CVE-2025-9286
Krytyczne

Wtyczka Appy Pie Connect dla WooCommerce w WordPressie jest podatna na eskalację uprawnień z powodu braku autoryzacji w funkcji reset_user_password() w interfejsie REST we wszystkich wersjach do i włącznie z 1.1.2. Umożliwia to nieautoryzowanym atakującym zresetowanie hasła dowolnych użytkowników, w tym administratorów.

CVE-2025-9209
Krytyczne

Wtyczka RestroPress – Online Food Ordering System dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 3.0.0 do 3.1.9.2. Problem wynika z ujawniania prywatnych tokenów użytkowników oraz danych API przez punkt końcowy REST API /wp-json/wp/v2/users.

CVE-2025-7721
Krytyczne

Wtyczka JoomSport – dla sportów: drużyny i ligi, piłka nożna, hokej i inne dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 5.7.3 włącznie, poprzez parametr task. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2025-10726
Krytyczne

Wtyczka WPRecovery dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'data[id]' we wszystkich wersjach do 2.0 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2025-10547
Krytyczne

W routerach Vigor działających na systemie DrayOS występuje niezainicjowana zmienna w przetwarzaniu argumentów żądania HTTP CGI, co może umożliwić atakującemu zdalne wykonanie kodu (RCE) poprzez uszkodzenie pamięci.

CVE-2025-6388
Krytyczne

Wtyczka Spirit Framework dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.2.14. Problem wynika z funkcji custom_actions(), która nieprawidłowo weryfikuje tożsamość użytkownika przed zalogowaniem go na stronie.

CVE-2025-9697
Krytyczne

Wtyczka Ajax WooSearch dla WordPressa w wersji do 1.0.0 nieprawidłowo sanitizuje i nie ucieka parametru przed użyciem go w zapytaniu SQL za pośrednictwem akcji AJAX dostępnej dla nieautoryzowanych użytkowników, co prowadzi do podatności na atak SQL injection.

CVE-2020-36852
Krytyczne

Wtyczka Custom Searchable Data Entry System dla WordPressa jest podatna na nieautoryzowane usuwanie danych z bazy w wersjach do 1.7.1 włącznie, z powodu braku sprawdzenia uprawnień oraz niewystarczającej walidacji w funkcji ghazale_sds_delete_entries_table_row(). Umożliwia to nieautoryzowanym atakującym całkowite usunięcie tabel w bazie danych, takich jak wp_users.

CVE-2025-10659
Krytyczne

Aplikacja internetowa Telenium Online jest podatna na ataki z powodu punktu końcowego PHP, który jest dostępny dla nieautoryzowanych użytkowników sieci i niewłaściwie obsługuje dane wejściowe dostarczane przez użytkowników. Podatność ta wynika z niebezpiecznego zakończenia sprawdzenia wyrażenia regularnego w tym punkcie końcowym.

CVE-2025-56513
Krytyczne

NiceHash QuickMiner w wersji 6.12.0 przeprowadza aktualizacje oprogramowania przez HTTP bez weryfikacji podpisów cyfrowych lub kontroli sum kontrolnych. Atakujący, który jest w stanie przechwycić lub przekierować ruch do adresu URL aktualizacji, może przejąć proces aktualizacji i dostarczyć dowolne pliki wykonywalne, które są automatycznie uruchamiane, co prowadzi do zdalnego wykonania kodu.

CVE-2025-10725
Krytyczne

W Red Hat Openshift AI Service odkryto lukę, która pozwala atakującemu z niskimi uprawnieniami, posiadającemu dostęp do uwierzytelnionego konta, na eskalację uprawnień do pełnego administratora klastra. To umożliwia całkowite naruszenie poufności, integralności i dostępności klastra.

CVE-2025-7493
Krytyczne

W FreeIPA odkryto lukę umożliwiającą eskalację uprawnień z hosta do administratora domeny. Problem polega na braku walidacji unikalności krbCanonicalName, co pozwala na wykorzystanie root@REALM jako nazwy administratora realm.

PoprzedniaStrona 223 z 570Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS