Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-49132
Krytyczne

Pterodactyl to darmowy, otwartoźródłowy panel zarządzania serwerami gier. Przed wersją 1.11.11, wykorzystując /locales/locale.json z parametrami zapytania locale i namespace, złośliwy aktor mógł wykonać dowolny kod bez uwierzytelnienia.

CVE-2025-44635
Krytyczne

W routerach H3C ER2200G2, ERG2-450W, ERG2-1200W, ERG2-1350W, NR1200W oraz innych wymienionych serii przed określonymi wersjami oprogramowania występują liczne podatności na zdalne wykonanie nieautoryzowanych poleceń. Atakujący mogą obejść uwierzytelnianie, wprowadzając specjalnie skonstruowany tekst w URL lub nagłówku wiadomości, co pozwala na wstrzyknięcie złośliwych poleceń i uzyskanie najwyższych uprawnień ROOT na zdalnych urządzeniach.

CVE-2025-4738
Krytyczne

W podatności CVE-2025-4738 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Yirmibes MY ERP w wersjach przed 1.170.

CVE-2025-52467
Krytyczne

Biblioteka pgai w Pythonie, służąca do przekształcania PostgreSQL w silnik wyszukiwania dla aplikacji RAG i Agentic, była podatna na atak umożliwiający wyciek wszystkich sekretów używanych w jednym przepływie pracy. W szczególności, GITHUB_TOKEN z uprawnieniami do zapisu w repozytorium, co pozwalało atakującemu na manipulację wszystkimi aspektami repozytorium.

CVE-2025-24288
Krytyczne

Oprogramowanie Versa Director domyślnie udostępnia szereg usług, co stwarza łatwe możliwości ataku z powodu domyślnych danych logowania oraz wielu kont (większość z dostępem sudo), które wykorzystują te same domyślne dane. Usługi takie jak ssh i postgres są domyślnie wystawione na internet.

CVE-2024-45208
Krytyczne

Platforma orkiestracji SD-WAN Versa Director, korzystająca z usługi aplikacyjnej Cisco NCS, ma podatność, która pozwala atakującemu na dostęp do usługi NCS na porcie 4566. Wersje dotknięte tą podatnością są związane z portami 4566 i 4570 na wszystkich interfejsach, co umożliwia nieautoryzowane działania administracyjne oraz zdalne wykonanie kodu.

CVE-2025-46157
KrytyczneEPSS 51%

W systemie EfroTech Time Trax w wersji 1.0 wykryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję załączania plików w formularzu wniosku urlopowego.

CVE-2025-51381
Krytyczne

W wersjach KCM3100 Ver1.4.2 i wcześniejszych występuje podatność na obejście uwierzytelniania. W przypadku wykorzystania tej podatności, atakujący może ominąć proces uwierzytelniania produktu z poziomu sieci LAN, do której produkt jest podłączony.

CVE-2025-49825
Krytyczne

Teleport, który zapewnia łączność, uwierzytelnianie, kontrolę dostępu i audyt dla infrastruktury, ma w wersjach Community Edition przed i w tym samym czasie co 17.5.1 podatność na zdalne obejście uwierzytelniania. W momencie publikacji nie ma dostępnej poprawki open-source.

CVE-2025-49452
Krytyczne

W podatności CVE-2025-49452 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji PostaPanduri. Problem dotyczy wersji od n/a do 2.1.3.

CVE-2025-49447
Krytyczne

Podatność CVE-2025-49447 w FW Food Menu od Fastw3b LLC pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji od n/a do 6.0.0.

CVE-2025-49444
Krytyczne

Podatność CVE-2025-49444 dotyczy wtyczki Reformer dla Elementor, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2025-49330
Krytyczne

Podatność CVE-2025-49330 dotyczy deserializacji niezaufanych danych w integracji CRM Perks dla Contact Form 7 i Zoho CRM, Bigin, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji integracji od n/a do 1.3.0 włącznie.

CVE-2025-49071
Krytyczne

Podatność CVE-2025-49071 w motywie NasaTheme Flozen umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Flozen od n/a do poniżej 1.5.1.

CVE-2025-48274
Krytyczne

Podatność CVE-2025-48274 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Job Portal w wersjach od n/a do 2.3.2.

CVE-2025-47573
Krytyczne

W podatności CVE-2025-47573 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie zarządzania szkołą mojoomla. Problem dotyczy wersji od n/a do 92.0.0.

CVE-2025-47559
Krytyczne

Podatność CVE-2025-47559 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do poniżej 8.7.4.

CVE-2025-47452
Krytyczne

Podatność CVE-2025-47452 w wtyczce WP VR pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP VR od n/a do 8.5.26.

CVE-2025-39479
Krytyczne

Podatność CVE-2025-39479 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Smart Notification. Problem ten dotyczy wersji Smart Notification od n/a do 10.3.

CVE-2025-32510
Krytyczne

Podatność CVE-2025-32510 dotyczy Ovatheme Events Manager, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Wersje od n/a do 1.8.4 są narażone na wykorzystanie złośliwych plików.

PoprzedniaStrona 248 z 570Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS