Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Problem z walidacją danych wejściowych został rozwiązany poprzez poprawę zarządzania pamięcią. Problem ten został naprawiony w iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, tvOS 18.6 oraz visionOS 2.6. Przetwarzanie złośliwie przygotowanego pliku może prowadzić do nieoczekiwanego zakończenia działania aplikacji.
Problem z uprawnieniami został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Problem ten został naprawiony w iPadOS 17.7.9, macOS Sequoia 15.6, macOS Sonoma 14.7.7 oraz macOS Ventura 13.7.7.
W wersji langchain-ai v0.3.51 odkryto podatność na pośrednią iniekcję poleceń w komponencie GmailToolkit. Ta podatność umożliwia atakującym wykonanie dowolnego kodu i kompromitację aplikacji za pomocą spreparowanej wiadomości e-mail.
Wersje pakietu z-push/z-push-dev przed 2.7.6 są podatne na atak typu SQL Injection z powodu nieparametryzowanych zapytań w backendzie IMAP. Atakujący może wstrzykiwać złośliwe polecenia, manipulując polem nazwy użytkownika w podstawowej autoryzacji.
W projektach RevelaCode w wersjach poniżej 1.0.1 przypadkowo umieszczono publicznie ważny URI MongoDB Atlas z wbudowanym użytkownikiem i hasłem. Może to prowadzić do nieautoryzowanego dostępu do baz danych produkcyjnych lub stagingowych.
Biblioteka SAML, niezależna od jakichkolwiek frameworków, działająca w Node, w wersji 5.0.1 ładowała asercję z oryginalnego dokumentu odpowiedzi (niesygnowanego). To pozwala atakującemu na modyfikację szczegółów uwierzytelnienia w ważnej asercji SAML.
Na urządzeniach Marbella KR8s Dashcam w wersji 2.0.8 odkryto problem związany z domyślnymi danymi logowania. Wszystkie wideorejestratory zostały dostarczone z tymi samymi domyślnymi hasłami '12345678', co stwarza niebezpieczną sytuację. Użytkownicy, którzy zmieniają hasła, mogą ustawić je na maksymalnie 8 znaków.
W urządzeniach Marbella KR8s Dashcam w wersji 2.0.8 odkryto problem, polegający na tym, że po włożeniu nowej karty SD, istniejące hasło jest automatycznie zapisywane w postaci niezaszyfrowanej na karcie. Atakujący z tymczasowym dostępem do wideorejestratora może wymienić kartę SD, aby ukraść to hasło.
W podatności CVE-2025-6918 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Ncvav Virtual PBX. Problem dotyczy wersji oprogramowania przed 09.07.2025.
Wtyczka Melapress Login Security dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku autoryzacji w funkcji get_valid_user_based_on_token() w wersjach od 2.1.0 do 2.1.1. Umożliwia to nieautoryzowanym atakującym, którzy znają dowolną wartość meta użytkownika, ominięcie kontroli uwierzytelniania i zalogowanie się jako ten użytkownik.
W repozytorium tj-actions/branch-names, które zawiera workflow do pobierania nazw gałęzi lub tagów, zidentyfikowano krytyczną podatność w wersjach 8.2.1 i poniżej. Umożliwia ona wykonanie dowolnych poleceń w downstream workflows z powodu niespójnej sanitizacji wejścia i nieodpowiednio zabezpieczonego wyjścia.
Oprogramowanie układowe Gardyn Home Kit przed wersją master.619, aplikacja mobilna Home Kit przed wersją 2.11.0 oraz API chmurowe Home Kit przed wersją 2.12.2026 umożliwiają wstrzykiwanie poleceń przez podatne metody, które nie oczyszczają danych wejściowych przed przekazaniem ich do systemu operacyjnego do wykonania. Ta podatność może pozwolić atakującemu na wykonanie dowolnych poleceń systemowych na docelowym urządzeniu Home Kit.
Oprogramowanie układowe Gardyn Home Kit przed wersją master.619, aplikacja mobilna Home Kit przed wersją 2.11.0 oraz API chmurowe Home Kit przed wersją 2.12.2026 używają słabych domyślnych poświadczeń do dostępu przez secure shell. Może to prowadzić do uzyskania dostępu przez atakujących do narażonych urządzeń Gardyn Home Kit.
W oprogramowaniu układowym Gardyn Home Kit przed wersją master.619, aplikacji mobilnej Home Kit przed wersją 2.11.0 oraz API chmurowego Home Kit przed wersją 2.12.2026, ciąg połączenia z Gardyn Azure IoT Hub jest pobierany przez niezabezpieczone połączenie HTTP. To naraża ciąg na przechwycenie i modyfikację w ataku typu Man-in-the-Middle.
Wbudowany serwer WWW w termostacie z wymienionych wersji zawiera podatność, która pozwala nieautoryzowanym atakującym, zarówno w lokalnej sieci, jak i z Internetu przez router z ustawionym przekierowaniem portów, na bezpośredni dostęp do serwera WWW termostatu oraz resetowanie danych logowania użytkowników poprzez manipulację określonymi elementami interfejsu webowego.
W podatności CVE-2025-4784 w systemie Moderec Tourtella występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection. Problem dotyczy wersji przed 26.05.2025.
Podatność CVE-2025-5243 w SMG Software Information Portal umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach oraz niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemowych, co prowadzi do wstrzykiwania kodu i możliwości przesłania powłoki sieciowej na serwerze WWW.
W podatności CVE-2025-4822 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Bayraktar Solar Energies ScadaWatt Otopilot. Problem dotyczy wersji przed 27.05.2025.
Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.
Wtyczka ONLYOFFICE Docs dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji w swoim punkcie końcowym oo.callback REST w wersjach od 1.1.0 do 2.2.0. Wtyczka weryfikuje jedynie, czy dostarczony, zaszyfrowany identyfikator załącznika odpowiada istniejącemu postowi załącznika, nie weryfikując tożsamości ani uprawnień żądającego.

