Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-42963
Krytyczne

Krytyczna podatność w serwerze aplikacyjnym SAP NetWeaver dla Java Log Viewer umożliwia uwierzytelnionym użytkownikom-administratorom wykorzystanie niebezpiecznej deserializacji obiektów Java. Udane wykorzystanie tej podatności może prowadzić do pełnego przejęcia systemu operacyjnego, dając atakującym pełną kontrolę nad dotkniętym systemem.

CVE-2025-53499
Krytyczne

W podatności CVE-2025-53499 w rozszerzeniu AbuseFilter dla Mediawiki występuje brak autoryzacji, co pozwala na nieautoryzowany dostęp. Problem dotyczy wersji Mediawiki - AbuseFilter Extension od 1.43.X przed 1.43.2.

CVE-2025-53495
Krytyczne

W podatności CVE-2025-53495 w rozszerzeniu AbuseFilter dla Mediawiki występuje brak autoryzacji, co pozwala na nieautoryzowany dostęp. Problem dotyczy wersji Mediawiki - AbuseFilter Extension od 1.43.X do przed 1.43.2.

CVE-2025-45065
Krytyczne

W systemie zarządzania rekordami pracowników w PHP i MySQL w wersji 1 odkryto podatność na wstrzykiwanie SQL poprzez punkt końcowy loginerms.php.

CVE-2025-43933
Krytyczne

Podatność CVE-2025-43933 w fblog do wersji 983bede umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.

CVE-2025-43932
Krytyczne

JobCenter do wersji 7e7b0b2 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.

CVE-2025-43931
Krytyczne

Podatność w flask-boilerplate umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany. W związku z tym resetowanie hasła zależy od nagłówka Host w żądaniu HTTP.

CVE-2025-43930
Krytyczne

Hashview w wersji 0.8.1 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.

CVE-2025-3626
Krytyczne

Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.

CVE-2025-41672
Krytyczne

Zdalny, nieautoryzowany atakujący może wykorzystać domyślne certyfikaty do generowania tokenów JWT, co pozwala na uzyskanie pełnego dostępu do narzędzia oraz wszystkich podłączonych urządzeń.

CVE-2025-48501
Krytyczne

W wersjach 2.3 i 2.4 Nimesa Backup and Recovery występuje problem z wstrzykiwaniem poleceń systemowych. W przypadku wykorzystania tej podatności, na serwerze, na którym działa produkt, mogą być wykonywane dowolne polecenia systemowe.

CVE-2025-26850
Krytyczne

Agent w Quest KACE Systems Management Appliance (SMA) przed wersją 14.0.97 oraz 14.1.x przed wersją 14.1.19 potencjalnie umożliwia eskalację uprawnień na zarządzanych systemach.

CVE-2025-53484
Krytyczne

Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.

CVE-2025-52833
Krytyczne

W podatności CVE-2025-52833 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie designthemes LMS. Problem ten dotyczy wersji LMS od n/a do 9.2 włącznie.

CVE-2025-52832
Krytyczne

Podatność CVE-2025-52832 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce wpo-HR NGG Smart Image Search. Problem ten dotyczy wersji od n/a do 3.4.1 włącznie.

CVE-2025-52831
Krytyczne

W podatności CVE-2025-52831 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w menedżerze list wideo Video List Manager w wersjach od n/a do 1.7.

CVE-2025-52830
Krytyczne

W bSecure – Your Universal Checkout występuje podatność na SQL Injection, która pozwala na przeprowadzenie tzw. Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.7.9 włącznie.

CVE-2025-49867
Krytyczne

W podatności CVE-2025-49867 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.4.0.

CVE-2025-49417
Krytyczne

Podatność CVE-2025-49417 dotyczy deserializacji niezaufanych danych w wtyczce WooCommerce Product Multi-Action, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.3 włącznie.

CVE-2025-49414
Krytyczne

Podatność CVE-2025-49414 w FW Gallery firmy Fastw3b LLC umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji FW Gallery od n/a do 8.0.0 włącznie.

PoprzedniaStrona 226 z 552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS