Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-56214
Krytyczne

System zarządzania szpitalem phpGurukul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr 'username' w pliku index.php.

CVE-2025-56212
Krytyczne

System zarządzania szpitalem phpGuruKul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr docname w pliku add-doctor.php.

CVE-2025-5821
Krytyczne

Wtyczka Case Theme User dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcję facebook_ajax_login_callback().

CVE-2025-7642
Krytyczne

Wtyczka Simpler Checkout dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 0.7.0 do 1.1.9. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go jako administratora przez funkcję simplerwc_woocommerce_order_created().

CVE-2022-43110
Krytyczne

Voltronic Power ViewPower w wersjach do 1.04-21353 oraz PowerShield Netguard przed 1.04-23292 pozwala zdalnemu atakującemu na konfigurację systemu poprzez nieokreślony interfejs webowy. Atakujący bez uwierzytelnienia może wprowadzać zmiany w systemie, w tym zmieniać hasło administratora interfejsu webowego oraz przeglądać i zmieniać konfigurację systemu.

CVE-2022-31491
Krytyczne

Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.

CVE-2024-52786
Krytyczne

W podatności CVE-2024-52786 w anji-plus AJ-Report do wersji 1.4.2 występuje luka umożliwiająca ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu za pomocą spreparowanego URL.

CVE-2024-50645
Krytyczne

MallChat v1.0-SNAPSHOT posiada lukę w autoryzacji, która pozwala na ominięcie procesu uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-57105
KrytyczneEPSS 85%

Router DI-7400G+ zawiera podatność na wstrzykiwanie poleceń w funkcjach sub_478D28 i sub_4A12DC programu jhttpd, umożliwiającą atakującemu wykonanie dowolnych poleceń na urządzeniu poprzez parametr ac_mng_srv_host.

CVE-2025-55398
Krytyczne

W mouse07410 asn1c w wersjach do 0.9.29 odkryto problem związany z dekoderami generowanymi przez asn1c, które nie egzekwują ograniczeń dla typu INTEGER, gdy wartość jest dodatnia i przekracza 32 bity. Może to prowadzić do przetwarzania niepoprawnych lub złośliwych danych wejściowych.

CVE-2024-50644
Krytyczne

Wersja 3.0.1-SNAPSHOT bloga zhisheng17 zawiera podatność na obejście uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-29366
Krytyczne

W wersji 2.6.0 mupen64plus występuje podatność na przepełnienie tablicy w funkcjach write_rdram_regs, co umożliwia wykonanie dowolnych poleceń na maszynie gospodarza.

CVE-2025-3128
Krytyczne

Zdalny, nieautoryzowany atakujący, który zdołał obejść uwierzytelnienie, może wykonywać dowolne polecenia systemowe w urządzeniach Mitsubishi Electric smartRTU. To może prowadzić do ujawnienia, manipulacji, zniszczenia lub usunięcia informacji, a także do stanu odmowy usługi.

CVE-2025-52352
Krytyczne

Platforma zarządzania IoT Aikaan w wersji v3.25.0325-5-g2e9c59796 umożliwia wyłączenie rejestracji użytkowników w rozproszonych wdrożeniach poprzez ukrycie opcji rejestracji na stronie logowania. Mimo to, punkt końcowy API do rejestracji pozostaje publicznie dostępny, co pozwala nieautoryzowanym użytkownikom na tworzenie kont nawet przy wyłączonej funkcji.

CVE-2025-57754
Krytyczne

CVE-2025-57754 dotyczy wtyczki eslint-ban-moment, która w wersji 3.0.0 i wcześniejszych ujawnia wrażliwy URI Supabase w pliku .env. Ujawnienie tego URI umożliwia atakującemu pełny nieautoryzowany dostęp do bazy danych oraz danych użytkowników.

CVE-2024-45438
Krytyczne

W systemie TitanHQ SpamTitan Email Security Gateway w wersjach 8.00.x przed 8.00.101 oraz 8.01.x przed 8.01.14 odkryto problem. Plik quarantine.php w interfejsie SpamTitan pozwala nieautoryzowanym użytkownikom na wywoływanie działań na poziomie konta za pomocą spreparowanego żądania GET, co prowadzi do automatycznego tworzenia rekordu użytkownika bez wymogu uwierzytelnienia.

CVE-2025-52395
Krytyczne

W API Roadcute w wersji 1 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu. Problem ten wynika z niewłaściwej walidacji tożsamości osoby żądającej w punkcie końcowym resetowania hasła.

CVE-2025-53251
Krytyczne

Podatność CVE-2025-53251 wtyczki Pin WP pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Pin WP od n/a do poniżej 7.2.

CVE-2025-8895
Krytyczne

Wtyczka WP Webhooks dla WordPressa jest podatna na kopiowanie dowolnych plików z powodu braku walidacji danych wejściowych dostarczanych przez użytkownika we wszystkich wersjach do 3.3.5 włącznie. Umożliwia to nieautoryzowanym atakującym kopiowanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2025-7390
Krytyczne

Złośliwy klient może obejść sprawdzanie zaufania certyfikatu klienta na serwerze opc.https, gdy punkt końcowy serwera jest skonfigurowany do zezwalania tylko na bezpieczną komunikację.

PoprzedniaStrona 232 z 571Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS