Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Wtyczka Post By Email dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji save_attachments we wszystkich wersjach do 1.0.4b włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka Copypress Rest API dla WordPressa jest podatna na zdalne wykonanie kodu poprzez funkcję copyreap_handle_image() w wersjach od 1.1 do 1.2. Wtyczka używa wbudowanego klucza do podpisywania JWT, gdy nie zdefiniowano sekretu, oraz nie ogranicza typów plików, które mogą być pobierane i zapisywane jako załączniki.
Wszystkie wersje pakietu check-branches są podatne na atak typu Command Injection. Narzędzie to, używane lokalnie lub w CI, służy do potwierdzania braku konfliktów w gałęziach git, jednak z powodu zaufania do nazw gałęzi i łączenia ich z wejściem użytkownika, może być narażone na nadużycia.
Crypt::RandomEncryption dla Perla w wersji 0.01 wykorzystuje niebezpieczną funkcję rand() podczas szyfrowania, co może prowadzić do osłabienia bezpieczeństwa danych. Użycie tej funkcji może skutkować przewidywalnymi kluczami szyfrującymi.
W frameworku ThriveX Blogging w wersjach od 2.5.9 do 3.1.3 odkryto problem w pliku AssistantController.java, który pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych informacji, takich jak klucze API, poprzez punkt końcowy /api/assistant/list.
W podatności CVE-2024-13150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie fayton.Pro ERP. Problem ten dotyczy wersji oprogramowania do 29 września 2025 roku.
W Apeman ID71 odkryto lukę bezpieczeństwa, która dotyczy nieznanego kodu w pliku /system/www/system.ini. W wyniku manipulacji w tym pliku mogą zostać ujawnione twardo zakodowane dane uwierzytelniające.
W wersjach wcześniejszych niż 11.0.2, w get-jwks występuje podatność, która może prowadzić do zanieczyszczenia pamięci podręcznej w mechanizmie pobierania kluczy JWKS. Problem polega na tym, że walidacja roszczenia iss (issuer) odbywa się dopiero po pobraniu kluczy z pamięci podręcznej, co pozwala na ponowne wykorzystanie kluczy z nieoczekiwanego źródła.
Formbricks, alternatywa dla Qualtrics, przed wersją 4.0.1 nie weryfikował podpisów JWT. W wyniku tego, mechanizm walidacji tokenów jedynie dekodował JWT, co umożliwiało atakującym tworzenie fałszywych tokenów do logowania i resetowania haseł.
W DOXENSE WATCHDOC przed wersją 6.1.1.5332 występuje podatność na deserializację niezaufanych danych, co może prowadzić do zdalnego wykonania kodu poprzez bibliotekę .NET Remoting w interfejsie administracyjnym Watchdoc.
Podatność CVE-2025-60219 w HaruTheme WooCommerce Designer Pro umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WooCommerce Designer Pro od n/a do 1.9.24.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce webandprint AR For WordPress umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji AR For WordPress od n/a do 8.34 włącznie.
Podatność w usługach internetowych oprogramowania Cisco Secure Firewall ASA, FTD, IOS, IOS XE oraz IOS XR może umożliwić zdalnemu atakującemu, który nie jest uwierzytelniony (w przypadku ASA i FTD) lub uwierzytelnionemu atakującemu z niskimi uprawnieniami (w przypadku IOS, IOS XE i IOS XR), wykonanie dowolnego kodu na podatnym urządzeniu. Problem wynika z niewłaściwej walidacji danych wejściowych dostarczonych przez użytkownika w żądaniach HTTP.
Projekt Gardener umożliwia automatyczne zarządzanie i obsługę klastrów Kubernetes jako usługi. W wersjach wcześniejszych niż 1.64.0 dla dostawców AWS, 1.55.0 dla Azure, 1.49.0 dla OpenStack oraz 1.46.0 dla GCP może wystąpić możliwość wstrzyknięcia kodu w rozszerzeniach Gardenera.
iMonitor EAM w wersji 9.6394 dostarczany jest z domyślnymi danymi logowania dla administratora, które są również wyświetlane w oknie połączenia klienta zarządzającego. Jeśli administrator nie zmieni tych domyślnych danych, zdalny atakujący może uwierzytelnić się na serwerze EAM i uzyskać pełną kontrolę nad monitorowanymi agentami oraz danymi.
Instancje cors-anywhere skonfigurowane jako otwarty proxy pozwalają nieautoryzowanym użytkownikom zewnętrznym na wymuszanie serwera do wykonywania żądań HTTP do dowolnych celów (SSRF). Atakujący może uzyskać dostęp do wewnętrznych punktów końcowych oraz usług metadanych, co prowadzi do kradzieży danych uwierzytelniających i nieautoryzowanego dostępu do wewnętrznych usług.
Do pakietu Nx (systemu budowania) oraz kilku powiązanych wtyczek wprowadzono złośliwy kod. Zmodyfikowany pakiet został opublikowany w rejestrze oprogramowania npm w wyniku ataku na łańcuch dostaw.
Podatność typu confusion w silniku V8 w przeglądarce Google Chrome przed wersją 140.0.7339.185 umożliwiała zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez specjalnie spreparowaną stronę HTML. Problem został sklasyfikowany jako wysokiego ryzyka.
Wtyczka MultiLoca - WooCommerce Multi Locations Inventory Management dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień. Problem wynika z braku sprawdzenia uprawnień w funkcji 'wcmlim_settings_ajax_handler' we wszystkich wersjach do 4.2.8 włącznie.
Baza danych aplikacji webowej jest wystawiona bez uwierzytelnienia, co pozwala nieautoryzowanemu zdalnemu atakującemu uzyskać dostęp i potencjalnie ją skompromitować.

