Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Wykryto problem z zapisem poza dozwolonym zakresem, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w kilku wersjach systemów iOS, iPadOS oraz macOS. Przetwarzanie złośliwego pliku graficznego może prowadzić do uszkodzenia pamięci.
W aplikacji UISP występuje podatność typu Server-Side Request Forgery (SSRF), która może umożliwić złośliwemu użytkownikowi z odpowiednimi uprawnieniami wykonywanie żądań poza zakresem aplikacji UISP.
W UniFi Connect EV Station Pro występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która może umożliwić złośliwemu użytkownikowi z fizycznym lub sąsiednim dostępem przeprowadzenie nieautoryzowanego resetu fabrycznego.
W UniFi Connect EV Station Lite występują liczne podatności związane z niewłaściwą walidacją danych wejściowych, które mogą umożliwić atak typu Command Injection osobie złośliwej mającej dostęp do sieci UniFi Connect EV Station Lite.
Wersja radar v1.0.8 zawiera błędne zarządzanie dostępem, co pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.
W dts-shop w wersji 0.0.1-SNAPSHOT występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia poprzez wysłanie spreparowanego ładunku do /admin/auth/index.
W wersji 1.3 biblioteki jeewx-boot występuje podatność na obejście uwierzytelniania w funkcji preHandle. Ta luka może pozwolić atakującym na uzyskanie dostępu do chronionych zasobów bez odpowiednich uprawnień.
W Jantent w wersji 1.1 występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na ominięcie uwierzytelnienia i dostęp do wrażliwych interfejsów API bez tokena.
W oficjalnym pakiecie źródłowym ProFTPD 1.3.3c, dystrybuowanym między 28 listopada a 2 grudnia 2010 roku, umieszczono złośliwe backdoory. Backdoor implementuje ukryte polecenie FTP, które po wywołaniu pozwala na zdalne wykonanie dowolnych poleceń systemowych z uprawnieniami roota.
W podatności CVE-2025-54726 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce jquery-archive-list-widget. Problem dotyczy wersji JS Archive List od n/a do poniżej 6.1.6.
Podatność CVE-2025-54713 dotyczy menedżera rezerwacji taksówek dla WooCommerce, który pozwala na obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.3.0 włącznie.
Podatność CVE-2025-54677 dotyczy wtyczki vcita Online Booking & Scheduling Calendar dla WordPress, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
Podatność związana z nieprawidłowym przypisaniem uprawnień w miniOrange Custom API dla WP umożliwia eskalację uprawnień. Problem ten dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.
W podatności CVE-2025-54048 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w miniOrange Custom API dla WP. Problem dotyczy wersji Custom API for WP od n/a do 4.2.2 włącznie.
Podatność CVE-2025-54014 dotyczy deserializacji niezaufanych danych w systemie MediCenter - Health Medical Clinic, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 15.1 włącznie.
W podatności CVE-2025-53580 występuje nieprawidłowe przypisanie uprawnień w aplikacji Simple Business Directory Pro, co umożliwia eskalację uprawnień. Problem dotyczy wersji Simple Business Directory Pro od n/a do poniżej 15.6.9.
W podatności CVE-2025-53577 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w systemie Global DNS w wersjach od n/a do 3.1.0. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na zainfekowanym systemie.
Podatność na deserializację niezaufanych danych w ThemeMakers Visual Content Composer umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.5.8 włącznie.
Podatność CVE-2025-53213 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce ELEXtensions ReachShip WooCommerce Multi-Carrier & Conditional Shipping. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
Podatność CVE-2025-49890 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Organic Beauty, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Organic Beauty od n/a do 1.4.6.

