Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-41240
Krytyczne

Trzy wykresy Bitnami Helm montują sekrety Kubernetes w przewidywalnej ścieżce (/opt/bitnami/*/secrets), która znajduje się w katalogu dokumentów serwera WWW. W dotkniętych wersjach może to prowadzić do nieautoryzowanego dostępu do wrażliwych poświadczeń przez HTTP/S.

CVE-2016-15044
KrytyczneEPSS 70%

Podatność zdalnego wykonania kodu w Kaltura przed wersją 11.1.0-2 wynika z niebezpiecznej deserializacji danych kontrolowanych przez użytkownika w module keditorservices. Nieuwierzytelniony atakujący może wysłać spreparowany obiekt PHP w parametrze GET kdata do endpointu redirectWidgetCmd, co prowadzi do wykonania dowolnego kodu PHP w kontekście procesu serwera WWW.

CVE-2025-41687
Krytyczne

Nieautoryzowany zdalny atakujący może wykorzystać przepełnienie bufora na stosie w API zarządzania u-link, aby uzyskać pełny dostęp do dotkniętych urządzeń.

CVE-2025-8044
Krytyczne

W przeglądarce Firefox 140 i kliencie pocztowym Thunderbird 140 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może prowadzić do możliwości wykonania dowolnego kodu.

CVE-2025-8043
Krytyczne

Podatność CVE-2025-8043 dotyczy błędnego skracania adresów URL w aplikacji Focus, które były obcinane na początku zamiast wokół źródła. Problem ten został naprawiony w wersji Firefox 141.

CVE-2025-8038
Krytyczne

Thunderbird zignorował ścieżki podczas sprawdzania ważności nawigacji w ramce, co może prowadzić do nieautoryzowanego dostępu do zasobów. Podatność ta została naprawiona w wersjach Firefox 141, Firefox ESR 140.1, Thunderbird 141 oraz Thunderbird 140.1.

CVE-2025-8037
Krytyczne

Ustawienie bezimiennego ciasteczka z znakiem równości w wartości powodowało zasłonięcie innych ciasteczek. Problem występował nawet, gdy bezimienne ciasteczko było ustawione przez HTTP, a zasłonięte ciasteczko miało atrybut `Secure`. Podatność została naprawiona w Firefox 141, Firefox ESR 140.1, Thunderbird 141 oraz Thunderbird 140.1.

CVE-2025-8031
Krytyczne

W części `username:password` nieprawidłowo usuwano dane z adresów URL w raportach CSP, co mogło prowadzić do wycieku poświadczeń HTTP Basic Authentication. Podatność została naprawiona w wersjach Firefox 141, Firefox ESR 128.13, Firefox ESR 140.1, Thunderbird 141, Thunderbird 128.13 oraz Thunderbird 140.1.

CVE-2025-8028
Krytyczne

Na architekturze arm64, instrukcja WASM `br_table` z dużą liczbą wpisów może spowodować, że etykieta będzie zbyt daleko od instrukcji, co prowadzi do obcięcia i niepoprawnego obliczenia adresu skoku. Ta podatność została naprawiona w wersjach Firefox 141, Firefox ESR 115.26, Firefox ESR 128.13, Firefox ESR 140.1, Thunderbird 141, Thunderbird 128.13 oraz Thunderbird 140.1.

CVE-2025-4285
Krytyczne

Podatność CVE-2025-4285 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w systemie Agentis firmy Rolantis Information Technologies, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji Agentis przed 4.32.

CVE-2025-6187
Krytyczne

Wtyczka bSecure dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji w swoim punkcie końcowym order_info REST w wersjach od 1.3.7 do 1.7.9. Wtyczka rejestruje trasę /webhook/v2/order_info/ z funkcją permission_callback, która zawsze zwraca prawdę, co omija wszelką autoryzację.

CVE-2025-54122
Krytyczne

W oprogramowaniu Manager-io/Manager zidentyfikowano krytyczną podatność typu Server-Side Request Forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na pełny odczyt danych. Dotyczy to komponentu proxy w wersjach Desktop i Server do 25.7.18.2519 włącznie.

CVE-2025-52362
Krytyczne

W wersji 1.1.1 i wcześniejszych PHProxy występuje podatność typu Server-Side Request Forgery (SSRF) w funkcjonalności przetwarzania URL. Możliwe jest ominięcie walidacji wejścia dla parametru _proxurl, co pozwala zdalnemu, nieautoryzowanemu atakującemu na przesłanie specjalnie przygotowanego URL.

CVE-2020-26799
Krytyczne

Wykryto podatność typu reflected cross-site scripting (XSS) w pliku index.php w Luxcal 4.5.2, która pozwala nieautoryzowanemu atakującemu na kradzież danych innych użytkowników.

CVE-2025-44654
KrytyczneEPSS 59%

W oprogramowaniu Linksys E2500 w wersji 3.0.04.002 opcja chroot_local_user jest włączona w pliku konfiguracyjnym vsftpd. Może to prowadzić do nieautoryzowanego dostępu do plików systemowych, eskalacji uprawnień lub wykorzystania serwera jako punktu przesiadkowego do ataków na sieć wewnętrzną.

CVE-2025-44655
Krytyczne

W routerach TOTOLink A7100RU V7.4, A950RG V5.9 i T10 V5.9 opcja chroot_local_user jest domyślnie włączona w pliku konfiguracyjnym vsftpd.conf. Może to umożliwić nieautoryzowany dostęp do plików systemowych, eskalację uprawnień lub wykorzystanie serwera jako punktu przesiadkowego do ataków na sieć wewnętrzną.

CVE-2025-7921
Krytyczne

Niektóre modele modemów opracowane przez firmę Askey mają podatność typu przepełnienie bufora na stosie, która pozwala nieautoryzowanym zdalnym atakującym na kontrolowanie przepływu wykonania programu oraz potencjalne wykonanie dowolnego kodu.

CVE-2025-7343
Krytyczne

SFT opracowane przez Digiwin zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-7918
Krytyczne

Pakiet webowy WinMatrix3 opracowany przez Simopro Technology zawiera podatność na SQL Injection, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-7916
Krytyczne

WinMatrix3 opracowany przez Simopro Technology zawiera podatność na niebezpieczną deserializację, która pozwala nieautoryzowanym zdalnym atakującym na wykonanie dowolnego kodu na serwerze poprzez wysyłanie złośliwie skonstruowanych zawartości serializowanych.

PoprzedniaStrona 243 z 573Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS