Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-57633
Krytyczne

W FTP-Flask-python występuje podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń systemowych. Punkt końcowy /ftp.html w akcji 'Upload File' konstruuje polecenie powłoki z parametru ftp_file i wykonuje je za pomocą os.system() bez odpowiedniego oczyszczania lub ucieczki.

CVE-2025-10159
Krytyczne

Podatność na obejście uwierzytelniania umożliwia zdalnym atakującym uzyskanie uprawnień administracyjnych na punktach dostępowych bezprzewodowych serii Sophos AP6, które są starsze niż wersja oprogramowania układowego 1.7.2563 (MR7).

CVE-2025-55730
Krytyczne

XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania tytułu w makrze kodu wklejania Confluence umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.

CVE-2025-55729
Krytyczne

XWiki Remote Macros zawiera makra renderujące, które są przydatne podczas migracji treści z Confluence. W wersjach od 1.0 do 1.26.5 brak odpowiedniego escapowania parametru ac:type w makrze ConfluenceLayoutSection umożliwia zdalne wykonanie kodu przez każdego użytkownika, który może edytować dowolną stronę.

CVE-2025-55051
Krytyczne

Podatność CVE-2025-55051 dotyczy użycia domyślnych poświadczeń, co może prowadzić do nieautoryzowanego dostępu do systemu. Wykorzystanie takich poświadczeń stwarza ryzyko, że nieuprawnione osoby uzyskają dostęp do wrażliwych danych.

CVE-2025-55050
Krytyczne

Podatność CVE-2025-55050 dotyczy włączenia nieudokumentowanych funkcji w oprogramowaniu, co może prowadzić do nieprzewidzianych zachowań systemu. Tego rodzaju luki mogą być wykorzystane przez atakujących do uzyskania nieautoryzowanego dostępu lub manipulacji danymi.

CVE-2025-55049
Krytyczne

Podatność CVE-2025-55049 dotyczy użycia domyślnego klucza kryptograficznego, co może prowadzić do nieautoryzowanego dostępu do danych. Wykorzystanie standardowych kluczy może osłabić bezpieczeństwo systemu.

CVE-2025-55048
Krytyczne

Podatność CVE-2025-55048 dotyczy wielu przypadków CWE-78, co wskazuje na możliwość wykonania kodu zdalnego poprzez wstrzyknięcie poleceń. Tego typu podatności mogą występować w różnych aplikacjach i systemach, które nieprawidłowo obsługują dane wejściowe użytkownika.

CVE-2025-58997
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w Frenify Mow mow umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Mow od n/a do 4.10 włącznie.

CVE-2025-47579
Krytyczne

Podatność CVE-2025-47579 dotyczy deserializacji niezaufanych danych w wtyczce ThemeGoods Photography, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Photography od n/a do 7.7.2 włącznie.

CVE-2025-47569
Krytyczne

W podatności CVE-2025-47569 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WooCommerce Ultimate Gift Card w wersjach od n/a do 2.9.6.

CVE-2025-32486
Krytyczne

W mechanizmie odzyskiwania hasła w Hossein Material Dashboard występuje słabość, która może być wykorzystana do resetowania zapomnianego hasła. Problem ten dotyczy wersji Material Dashboard od n/a do 1.4.6 włącznie.

CVE-2025-10183
Krytyczne

W usłudze internetowej OpenMessaging w TecCom TecConnect 4.1 występuje podatność na ślepą iniekcję XML External Entity (XXE), która pozwala nieautoryzowanemu atakującemu na wykradanie dowolnych plików na serwer kontrolowany przez atakującego. TecConnect 4.1 uznawany jest za produkt, którego wsparcie zakończyło się w grudniu 2023 roku.

CVE-2025-9994
Krytyczne

Interfejs administracyjny HTTP punktu dostępowego Bluetooth Amp’ed RF BT-AP 111 nie posiada funkcji uwierzytelniania, co umożliwia nieautoryzowany dostęp każdemu, kto ma dostęp do sieci.

CVE-2025-54236
Krytyczne

Wersje Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych. Atakujący może wykorzystać tę lukę do przejęcia sesji, co znacząco wpływa na poufność i integralność danych.

CVE-2025-40804
Krytyczne

Zidentyfikowano podatność w SIMATIC Virtualization as a Service (SIVaaS) we wszystkich wersjach. Aplikacja narażona jest na udostępnienie zasobu sieciowego bez jakiejkolwiek autoryzacji.

CVE-2025-40795
KrytyczneEPSS 59%

Zidentyfikowano podatność w SIMATIC PCS neo w wersjach 4.1, 5.0 oraz 6.0 (wszystkie wersje poniżej V6.0 SP1 Update 1) oraz w komponencie zarządzania użytkownikami (UMC) (wszystkie wersje poniżej V2.15.1.3). Podatność ta polega na przepełnieniu bufora na stosie w zintegrowanym komponencie UMC, co może umożliwić nieautoryzowanemu zdalnemu atakującemu wykonanie dowolnego kodu lub spowodowanie stanu odmowy usługi.

CVE-2025-10134
Krytyczne

Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-42958
Krytyczne

W aplikacji SAP NetWeaver na platformie IBM i-series występuje brak weryfikacji uwierzytelnienia, co pozwala nieautoryzowanym użytkownikom z wysokimi uprawnieniami na odczyt, modyfikację lub usunięcie wrażliwych informacji oraz dostęp do funkcji administracyjnych. To prowadzi do poważnego wpływu na poufność, integralność i dostępność aplikacji.

CVE-2025-42944
Krytyczne

W wyniku podatności na deserializację w SAP NetWeaver, nieautoryzowany atakujący mógłby wykorzystać system poprzez moduł RMI-P4, przesyłając złośliwy ładunek do otwartego portu. Deserializacja takich nieufnych obiektów Java może prowadzić do wykonania dowolnych poleceń systemowych.

PoprzedniaStrona 228 z 571Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS