Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W FTP-Flask-python występuje podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń systemowych. Punkt końcowy /ftp.html w akcji 'Upload File' konstruuje polecenie powłoki z parametru ftp_file i wykonuje je za pomocą os.system() bez odpowiedniego oczyszczania lub ucieczki.
Podatność na obejście uwierzytelniania umożliwia zdalnym atakującym uzyskanie uprawnień administracyjnych na punktach dostępowych bezprzewodowych serii Sophos AP6, które są starsze niż wersja oprogramowania układowego 1.7.2563 (MR7).
XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania tytułu w makrze kodu wklejania Confluence umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.
XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania parametru ac:type w makrze ConfluenceLayoutSection umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.
Podatność CVE-2025-55051 dotyczy użycia domyślnych poświadczeń, co może prowadzić do nieautoryzowanego dostępu do systemu. Wykorzystanie takich poświadczeń stwarza ryzyko, że nieuprawnione osoby uzyskają dostęp do wrażliwych danych.
Podatność CVE-2025-55050 dotyczy włączenia nieudokumentowanych funkcji w oprogramowaniu, co może prowadzić do nieprzewidzianych zachowań systemu. Tego rodzaju luki mogą być wykorzystane przez atakujących do uzyskania nieautoryzowanego dostępu lub manipulacji danymi.
Podatność CVE-2025-55049 dotyczy użycia domyślnego klucza kryptograficznego, co może prowadzić do nieautoryzowanego dostępu do danych. Wykorzystanie standardowych kluczy może osłabić bezpieczeństwo systemu.
Podatność CVE-2025-55048 dotyczy wielu przypadków CWE-78, co wskazuje na możliwość wykonania kodu zdalnego poprzez wstrzyknięcie poleceń. Tego typu podatności mogą występować w różnych aplikacjach i systemach, które nieprawidłowo obsługują dane wejściowe użytkownika.
Podatność typu Cross-Site Request Forgery (CSRF) w Frenify Mow mow umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Mow od n/a do 4.10 włącznie.
Podatność CVE-2025-47579 dotyczy deserializacji niezaufanych danych w wtyczce ThemeGoods Photography, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Photography od n/a do 7.7.2 włącznie.
W podatności CVE-2025-47569 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WooCommerce Ultimate Gift Card w wersjach od n/a do 2.9.6.
W mechanizmie odzyskiwania hasła w Hossein Material Dashboard występuje słabość, która może być wykorzystana do resetowania zapomnianego hasła. Problem ten dotyczy wersji Material Dashboard od n/a do 1.4.6 włącznie.
W usłudze internetowej OpenMessaging w TecCom TecConnect 4.1 występuje podatność na ślepą iniekcję XML External Entity (XXE), która pozwala nieautoryzowanemu atakującemu na wykradanie dowolnych plików na serwer kontrolowany przez atakującego. TecConnect 4.1 uznawany jest za produkt, którego wsparcie zakończyło się w grudniu 2023 roku.
Interfejs administracyjny HTTP punktu dostępowego Bluetooth Amp’ed RF BT-AP 111 nie posiada funkcji uwierzytelniania, co umożliwia nieautoryzowany dostęp każdemu, kto ma dostęp do sieci.
Wersje Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych. Atakujący może wykorzystać tę lukę do przejęcia sesji, co znacząco wpływa na poufność i integralność danych.
Zidentyfikowano podatność w SIMATIC Virtualization as a Service (SIVaaS) we wszystkich wersjach. Aplikacja narażona jest na udostępnienie zasobu sieciowego bez jakiejkolwiek autoryzacji.
Zidentyfikowano podatność w SIMATIC PCS neo w wersjach 4.1, 5.0 oraz 6.0 (wszystkie wersje poniżej V6.0 SP1 Update 1) oraz w komponencie zarządzania użytkownikami (UMC) (wszystkie wersje poniżej V2.15.1.3). Podatność ta polega na przepełnieniu bufora na stosie w zintegrowanym komponencie UMC, co może umożliwić nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu lub spowodowanie stanu odmowy usługi.
Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
W aplikacji SAP NetWeaver na platformie IBM i-series występuje brak weryfikacji uwierzytelnienia, co pozwala nieautoryzowanym użytkownikom z wysokimi uprawnieniami na odczyt, modyfikację lub usunięcie wrażliwych informacji oraz dostęp do funkcji administracyjnych. To prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.
W wyniku podatności na deserializację w SAP NetWeaver, nieautoryzowany atakujący mógłby wykorzystać system poprzez moduł RMI-P4, przesyłając złośliwy ładunek do otwartego portu. Deserializacja takich nieufnych obiektów Java może prowadzić do wykonania dowolnych poleceń systemowych.

