Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-7697
Krytyczne

Wtyczka Integracja dla Google Sheets oraz Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.1.1 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2025-7696
Krytyczne

Wtyczka Integracja dla Pipedrive i Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.2.3 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2025-7444
Krytyczne

Wtyczka LoginPress Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 5.0.1 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.

CVE-2025-26855
Krytyczne

Wtyczka Articles Calendar w wersjach 1.0.0 - 1.0.1.0007 dla Joomla zawiera podatność na wstrzykiwanie SQL, która pozwala atakującym na wykonywanie dowolnych poleceń SQL.

CVE-2025-26854
Krytyczne

Wtyczka Articles Good Search w wersjach 1.0.0 - 1.2.4.0011 dla Joomla zawiera podatność na wstrzykiwanie SQL, co pozwala atakującym na wykonywanie dowolnych poleceń SQL.

CVE-2025-7643
Krytyczne

Wtyczka Attachment Manager dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_actions() we wszystkich wersjach do 2.1.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-6222
Krytyczne

Motyw WooCommerce Refund And Exchange with RMA - Warranty Management, Refund Policy, Manage User Wallet dla WordPress jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'ced_rnx_order_exchange_attach_files' we wszystkich wersjach do 3.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-6185
Krytyczne

Leviton AcquiSuite i Energy Monitoring Hub są podatne na atak typu cross-site scripting, co pozwala napastnikowi na stworzenie złośliwego ładunku w parametrach URL. Po dostępie przez użytkownika, ładunek ten może zostać wykonany w przeglądarce klienta, co prowadzi do kradzieży tokenów sesji i przejęcia kontroli nad usługą.

CVE-2025-7398
Krytyczne

Brocade ASCG w wersjach przed 3.3.0 umożliwia użycie algorytmów kryptograficznych o średniej sile na portach wewnętrznych 9000 i 8036.

CVE-2025-6391
Krytyczne

Brocade ASCG przed wersją 3.3.0 rejestruje JSON Web Tokens (JWT) w plikach dziennika. Atakujący z dostępem do tych plików może uzyskać niezaszyfrowane tokeny, co stwarza poważne zagrożenia dla bezpieczeństwa.

CVE-2025-23266
Krytyczne

NVIDIA Container Toolkit dla wszystkich platform zawiera podatność w niektórych hookach używanych do inicjalizacji kontenera, która pozwala atakującemu na wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Udany atak może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji oraz odmowy usługi.

CVE-2025-54068
Krytyczne

Livewire to pełnostackowy framework dla Laravel. W wersjach Livewire v3 do v3.6.3 występuje podatność, która pozwala nieautoryzowanym atakującym na zdalne wykonanie poleceń w określonych scenariuszach, związana z aktualizacjami właściwości komponentów.

CVE-2025-50240
Krytyczne

W wersji nbcio-boot v1.0.3 odkryto podatność na wstrzykiwanie SQL poprzez parametr userIds w ścieżce /sys/user/deleteRecycleBin.

CVE-2025-53867
Krytyczne

Podatność w Island Lake WebBatch przed wersją 2025C umożliwia zdalne wykonanie kodu poprzez spreparowany URL. Atakujący może wysłać specjalnie skonstruowane żądanie HTTP, co prowadzi do wykonania dowolnego kodu na serwerze.

CVE-2025-25257
Krytyczne

W Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 występuje podatność na wstrzykiwanie SQL (SQL Injection), która pozwala nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez odpowiednio skonstruowane żądania HTTP lub HTTPS.

CVE-2025-7712
Krytyczne

Wtyczka Madara - Core dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji wp_manga_delete_zip() we wszystkich wersjach do 2.2.3 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-5396
Krytyczne

Wtyczka Bears Backup dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.0.0. Problem wynika z braku sprawdzenia uprawnień w funkcji bbackup_ajax_handle() oraz niewalidowania danych wejściowych dostarczonych przez użytkownika, co umożliwia nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2025-52836
Krytyczne

W podatności CVE-2025-52836 występuje błędne przypisanie uprawnień w systemie E-Commerce ERP firmy Unity Business Technology Pty Ltd, co umożliwia eskalację uprawnień. Problem dotyczy wersji E-Commerce ERP od n/a do 2.1.1.3 włącznie.

CVE-2025-52714
Krytyczne

W podatności CVE-2025-52714 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem dotyczy wersji Traveler od n/a do poniżej 3.2.2.

CVE-2025-48300
Krytyczne

Podatność CVE-2025-48300 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Groundhogg, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Groundhogg od n/a do 4.2.1.

PoprzedniaStrona 244 z 573Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS