Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce smart SEO od axiomthemes umożliwia eskalację uprawnień. Problem dotyczy wersji smart SEO od n/a do 4.0 włącznie.
Podatność CVE-2025-58819 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.
W wersjach TkEasyGUI przed v1.0.22 występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na 'OS Command Injection'. W przypadku wykorzystania tej podatności, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe, jeśli ustawienia są skonfigurowane do tworzenia wiadomości z zewnętrznych źródeł.
Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.
Portal zakupowy phpGuruKul w wersji 2.0 jest podatny na nieautoryzowane przesyłanie plików w pliku /admin/insert-product.php z powodu braku walidacji rozszerzeń.
Podatność CVE-2025-1740 w Akinsoft MyRezzta polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia obejście uwierzytelnienia, wykorzystanie odzyskiwania hasła oraz ataki typu brute force. Problem dotyczy wersji MyRezzta od s2.03.01 do przed v2.05.01.
W podatności CVE-2024-32444 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.3.6 włącznie.
W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.
W BootRom występuje potencjalny brak sprawdzenia rozmiaru ładunku. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W FDL1 występuje potencjalny brak sprawdzenia rozmiaru ładunku, co może prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W BootROM brakuje sprawdzenia rozmiaru kluczy RSA podczas walidacji typu certyfikatu 0. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.
W SkyBridge BASIC MB-A130 w wersji 1.5.8 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonywać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2025-31100 w systemie zarządzania szkołą Mojoomla pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 1.93.1.
W podatności CVE-2024-32832 występuje brak autoryzacji w funkcji logowania za pomocą numeru telefonu w aplikacji Login with phone number, co może prowadzić do nieautoryzowanego dostępu. Problem dotyczy wersji od n/a do 1.6.93 włącznie.
W kamerze IP TRENDnet TV-IP410 w wersji oprogramowania vA1.0R wykryto podatność na wstrzykiwanie komend systemu operacyjnego. Luka występuje w komponencie /server/cgi-bin/testserv.cgi.
TSA opracowane przez Changing ma lukę w autoryzacji, która pozwala nieautoryzowanym atakującym zdalnym na odczyt, modyfikację i usuwanie zawartości bazy danych.
System obrazów klinicznych opracowany przez Changing zawiera twardo zakodowane dane uwierzytelniające, co pozwala nieautoryzowanym atakującym zdalnie zalogować się do systemu, używając danych administratora osadzonych w kodzie źródłowym.
Valtimo to platforma do automatyzacji procesów biznesowych. W wersjach przed 12.16.0.RELEASE oraz od 13.0.0.RELEASE do przed 13.1.2.RELEASE, administratorzy mogą uzyskać dostęp do wrażliwych danych lub zasobów, co może prowadzić do uruchamiania programów na hoście aplikacji oraz przeglądania i wydobywania danych z środowiska hosta.
Paymenter to darmowe i otwarte rozwiązanie sklepu internetowego dla hostingów. W wersjach przed 1.2.11 funkcjonalność załączników biletów pozwalała złośliwemu uwierzytelnionemu użytkownikowi na przesyłanie dowolnych plików, co mogło prowadzić do wycieku wrażliwych danych z bazy danych oraz uruchamiania dowolnych poleceń systemowych w kontekście użytkownika serwera WWW.

