Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-57819
KrytyczneAktywnie exploitowaneEPSS 100%

FreePBX, otwartoźródłowy interfejs graficzny, ma luki w wersjach 15, 16 i 17, które wynikają z niewystarczającego oczyszczania danych dostarczanych przez użytkowników. Umożliwia to nieautoryzowany dostęp do administratora FreePBX, co prowadzi do manipulacji bazą danych i zdalnego wykonania kodu.

CVE-2025-54738
Krytyczne

W podatności CVE-2025-54738 występuje możliwość ominięcia uwierzytelnienia w motywie NooTheme Jobmonster, co pozwala na nadużycie uwierzytelnienia. Problem ten dotyczy wersji Jobmonster od n/a do 4.7.9 włącznie.

CVE-2025-54725
Krytyczne

Podatność CVE-2025-54725 dotyczy systemu Golo, w którym możliwe jest obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach Golo od n/a do 1.7.0 włącznie.

CVE-2025-54720
Krytyczne

W podatności CVE-2025-54720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w dodatkach SteelThemes Nest Addons. Problem dotyczy wersji dodatków od n/a do 1.6.3 włącznie.

CVE-2025-52761
Krytyczne

Podatność CVE-2025-52761 dotyczy deserializacji niezaufanych danych w wtyczce WP Funnel Manager, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.0.

CVE-2025-49388
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce Miraculous Core Plugin pozwala na eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.7 włącznie.

CVE-2025-49387
Krytyczne

Podatność CVE-2025-49387 dotyczy wtyczki Drag and Drop File Upload for Elementor Forms, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2025-48100
Krytyczne

Podatność CVE-2025-48100 dotyczy niewłaściwej kontroli generowania kodu w integratorze bidorbuy Store, co pozwala na zdalne włączenie kodu. Problem ten występuje w wersjach od n/a do 2.12.0 włącznie.

CVE-2025-39496
Krytyczne

Podatność CVE-2025-39496 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WooBeWoo Product Filter Pro. Problem ten dotyczy wersji przed 2.9.6.

CVE-2025-54762
Krytyczne

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja Media: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-53970
Krytyczne

SS1 w wersji 16.0.0.10 i wcześniejszych (wersja multimedialna: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.

CVE-2025-7955
Krytyczne

Wtyczka RingCentral Communications dla WordPressa jest podatna na obejście uwierzytelniania z powodu niewłaściwej walidacji w funkcji ringcentral_admin_login_2fa_verify() w wersjach od 1.5 do 1.6.8. Umożliwia to nieautoryzowanym atakującym logowanie się jako dowolny użytkownik, wystarczy podać identyczne fałszywe kody.

CVE-2025-34523
Krytyczne

W Arcserve Unified Data Protection (UDP) występuje podatność typu przepełnienie bufora w sterownikach obsługi wejścia, która może być wykorzystana przez zdalnego atakującego bez potrzeby uwierzytelnienia. Wysyłając specjalnie przygotowane dane, atakujący może uszkodzić pamięć sterty, co może prowadzić do odmowy usługi lub wykonania dowolnego kodu.

CVE-2025-34163
Krytyczne

Oprogramowanie Dongsheng Logistics wystawia nieautoryzowany punkt końcowy pod adresem /CommMng/Print/UploadMailFile, który nie wprowadza odpowiedniej walidacji typu pliku ani kontroli dostępu. Atakujący może przesyłać dowolne pliki, w tym skrypty wykonywalne, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2025-34162
Krytyczne

W systemie Bian Que Feijiu Intelligent Emergency and Quality Control występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym GetLyfsByParams. Problem wynika z niewłaściwego oczyszczania danych wejściowych w parametrze strOpid, co umożliwia atakującym wstrzykiwanie dowolnych poleceń SQL.

CVE-2025-34157
Krytyczne

Podatność typu stored XSS w Coolify przed wersją v4.0.0-beta.420.6 umożliwia uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie złośliwego JavaScriptu w nazwę projektu. Kod wykonuje się w przeglądarce administratora podczas próby usunięcia projektu lub powiązanego zasobu.

CVE-2025-41702
Krytyczne

Klucz tajny JWT jest osadzony w backendzie egOS WebGUI i jest dostępny dla domyślnego użytkownika. Nieautoryzowany atakujący zdalny może generować ważne tokeny HS256 i omijać uwierzytelnianie oraz autoryzację z powodu użycia zakodowanego klucza kryptograficznego.

CVE-2025-53120
Krytyczne

Podatność typu traversal w funkcjonalności przesyłania plików bez uwierzytelnienia pozwala złośliwemu użytkownikowi na przesyłanie binariów i skryptów do katalogów konfiguracyjnych oraz głównych katalogów serwera, co prowadzi do zdalnego wykonania kodu na serwerze Unified PAM.

CVE-2025-55575
Krytyczne

W podatności CVE-2025-55575 występuje luka typu SQL Injection w SMM Panel w wersji 3.1, która umożliwia zdalnym atakującym uzyskanie wrażliwych informacji poprzez odpowiednio skonstruowane żądanie HTTP z parametrem action=service_detail.

CVE-2025-53118
Krytyczne

Istnieje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu atakującemu na kontrolowanie funkcji kopii zapasowych administratora. Może to prowadzić do kompromitacji haseł, sekretów oraz tokenów sesji aplikacji przechowywanych przez Unified PAM.

PoprzedniaStrona 231 z 571Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS