Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-50567
Krytyczne

Saurus CMS Community Edition 4.7.1 zawiera podatność w funkcji DB::prepare(), która używa preg_replace() z przestarzałym modyfikatorem /e (eval) do interpolacji parametrów zapytań SQL. Umożliwia to wstrzyknięcie kontrolowanych przez użytkownika instrukcji SQL, co może prowadzić do wykonania dowolnego kodu PHP.

CVE-2025-8723
Krytyczne

Wtyczka Cloudflare Image Resizing dla WordPressa jest podatna na zdalne wykonanie kodu z powodu braku uwierzytelnienia oraz niewystarczającego oczyszczania w metodzie hook_rest_pre_dispatch(). Dotyczy to wszystkich wersji do i włącznie z 1.5.6.

CVE-2025-6758
Krytyczne

Motyw Real Spaces - WordPress Properties Directory Theme dla WordPress jest podatny na eskalację uprawnień poprzez funkcję 'imic_agent_register' we wszystkich wersjach do 3.6 włącznie. Problem wynika z braku ograniczeń w roli rejestracji użytkownika.

CVE-2025-55299
Krytyczne

VaulTLS to nowoczesne rozwiązanie do zarządzania certyfikatami mTLS (wzajemne TLS). W wersjach przed 0.9.1, konta użytkowników utworzone przez interfejs webowy miały ustawione puste, ale nie NULL hasło, co pozwalało atakującym na logowanie się bez hasła.

CVE-2025-55205
Krytyczne

Podatność w Capsule v0.10.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na injectowanie dowolnych etykiet do systemowych przestrzeni nazw (kube-system, default, capsule-system), co narusza izolację wielo-tenantową. To umożliwia eskalację uprawnień i łamie podstawowe granice bezpieczeństwa, które Capsule ma na celu egzekwować.

CVE-2025-31715
Krytyczne

W usłudze vowifi występuje możliwa podatność na wstrzykiwanie poleceń z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do zdalnego eskalowania uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2025-8898
Krytyczne

Wtyczka Taxi Booking Manager dla Woocommerce | E-cab w WordPressie jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.3.0. Problem wynika z braku odpowiedniej walidacji uprawnień użytkownika przed aktualizacją ustawień wtyczki lub danych osobowych, takich jak adres e-mail.

CVE-2025-7441
Krytyczne

Wtyczka StoryChief dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.0.42 włącznie. Podatność ta występuje przez punkt końcowy REST-API /wp-json/storychief/webhook, który nie ma wystarczającej walidacji typów plików.

CVE-2025-9060
Krytyczne

W aplikacji MSoft MFlash odkryto podatność, która umożliwia wykonanie dowolnego kodu na serwerze. Problem występuje w funkcjonalności konfiguracji integracji dostępnej tylko dla administratorów MFlash.

CVE-2025-7778
Krytyczne

Wtyczka Icons Factory dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej autoryzacji oraz nieprawidłowej walidacji ścieżek w funkcji delete_files() we wszystkich wersjach do i włącznie z 1.6.12. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-6679
Krytyczne

Wtyczka Bit Form builder dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku we wszystkich wersjach do 2.20.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-50518
Krytyczne

W bibliotece libcoap występuje podatność typu use-after-free w funkcji coap_delete_pdu_lkd, która wynika z niewłaściwego zarządzania pamięcią po zwolnieniu obiektu PDU. Może to prowadzić do uszkodzenia pamięci lub wykonania dowolnego kodu.

CVE-2025-43983
Krytyczne

Urządzenia KuWFi CPF908-CP5 WEB5.0_LCD_20210125 mają wiele podatności związanych z brakiem kontroli dostępu, które pozwalają na nieautoryzowany dostęp do funkcji goform/goform_set_cmd_process oraz goform/goform_get_cmd_process. Atakujący może uzyskać wrażliwe informacje, takie jak nazwa użytkownika i hasło administratora, zmieniać krytyczne ustawienia urządzenia oraz wysyłać dowolne wiadomości SMS.

CVE-2025-27845
Krytyczne

W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.

CVE-2025-43984
Krytyczne

Na urządzeniach KuWFi GC111 (Wersja sprzętowa: CPE-LM321_V3.2, Wersja oprogramowania: GC111-GL-LM321_V3.0_20191211) odkryto problem związany z niezautoryzowanymi żądaniami /goform/goform_set_cmd_process. Złośliwe żądanie POST, wykorzystujące parametr SSID, pozwala zdalnym atakującym na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2025-54707
Krytyczne

W podatności CVE-2025-54707 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce RealMag777 MDTF wp-meta-data-filter-and-taxonomy-filter. Problem dotyczy wersji MDTF od n/a do 1.3.3.7 włącznie.

CVE-2025-54693
Krytyczne

Podatność CVE-2025-54693 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzu epiphyt Form Block, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Form Block od n/a do 1.5.5 włącznie.

CVE-2025-54686
Krytyczne

Podatność CVE-2025-54686 dotyczy deserializacji niezaufanych danych w bibliotece scriptsbundle Exertio, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Exertio od n/a do 1.3.2 włącznie.

CVE-2025-54678
Krytyczne

Podatność CVE-2025-54678 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w Easy Form Builder w wersjach od n/a do 3.8.15.

CVE-2025-54669
Krytyczne

W podatności CVE-2025-54669 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji MapSVG. Problem dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

PoprzedniaStrona 235 z 571Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS