Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-28951
Krytyczne

Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-23968
Krytyczne

Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.

CVE-2024-13786
Krytyczne

Motyw edukacyjny dla WordPressa jest podatny na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 3.6.10 poprzez deserializację nieufnych danych wejściowych w funkcji 'themerex_callback_view_more_posts'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektu PHP.

CVE-2025-5746
Krytyczne

Wtyczka Drag and Drop Multiple File Upload (Pro) dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji dnd_upload_cf7_upload_chunks(). Dotyczy to wersji 5.0 - 5.0.5 (w połączeniu z motywem PrintSpace) oraz wszystkich wersji do 1.7.1 w wersji samodzielnej.

CVE-2025-52101
Krytyczne

Linjiashop w wersji 0.9 i wcześniejszych jest podatny na błędne zarządzanie dostępem. W przypadku użycia domyślnie generowanej autoryzacji JWT, atakujący mogą obejść proces uwierzytelniania i uzyskać zaszyfrowane 'hasło' oraz 'sól'.

CVE-2025-45006
Krytyczne

W podatności CVE-2025-45006 występuje niewłaściwe zachowanie bitu mstatus.SUM w otwartoźródłowym procesorze RISC-V, co narusza ograniczenia specyfikacji dla trybu uprzywilejowanego. Może to umożliwić ataki na fizyczny dostęp do pamięci.

CVE-2025-53104
Krytyczne

W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.

CVE-2025-49029
Krytyczne

Podatność CVE-2025-49029 dotyczy widgetu Custom Login And Signup Widget w wersjach od n/a do 1.0, który pozwala na wstrzykiwanie kodu. Problem ten wynika z niewłaściwej kontroli generowania kodu.

CVE-2025-41656
Krytyczne

Podatność CVE-2025-41656 pozwala nieautoryzowanemu zdalnemu atakującemu na wykonywanie dowolnych poleceń na podatnych urządzeniach z wysokimi uprawnieniami, ponieważ uwierzytelnienie serwera Node_RED nie jest domyślnie skonfigurowane.

CVE-2025-41648
Krytyczne

Nieautoryzowany zdalny atakujący może obejść logowanie do aplikacji webowej dotkniętych urządzeń, co umożliwia dostęp do wszystkich dostępnych ustawień IndustrialPI oraz ich zmianę.

CVE-2025-6934
Krytyczne

Wtyczka Opal Estate Pro – Zarządzanie Nieruchomościami i Zgłaszanie dla WordPressa, używana przez motyw FullHouse - Responsywny WordPress dla Nieruchomości, jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z braku ograniczeń ról podczas rejestracji w funkcji 'on_regiser_user'.

CVE-2025-45931
KrytyczneEPSS 67%

W urządzeniu D-Link DIR-816-A2 z oprogramowaniem DIR-816A2_FWv1.10CNB05_R1B011D88210 wykryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję system() w pliku bin/goahead.

CVE-2025-26074
Krytyczne

Orkes Conductor w wersji 3.21.11 umożliwia zdalnym atakującym wykonywanie dowolnych poleceń systemu operacyjnego poprzez nieograniczony dostęp do klas Java.

CVE-2025-24290
Krytyczne

W aplikacji UISP (wersja 2.4.206 i wcześniejsze) zidentyfikowano wiele podatności na ataki typu SQL Injection, które mogą być wykorzystane przez złośliwego aktora z niskimi uprawnieniami do eskalacji swoich uprawnień.

CVE-2025-53391
Krytyczne

Plik zuluPolkit/CMakeLists.txt w pakiecie zulucrypt_6.2.0-1 dla Debiana zawiera niebezpieczne ustawienia PolicyKit allow_any/allow_inactive/allow_active, które umożliwiają lokalnemu użytkownikowi podniesienie swoich uprawnień do poziomu roota.

CVE-2025-32897
Krytyczne

Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.3.0. Problem ten jest identyczny z CVE-2024-47552, ale zakres wersji w tym CVE jest zbyt wąski.

CVE-2025-5310
Krytyczne

Konsolki ProGauge MagLink LX firmy Dover Fueling Solutions udostępniają nieudokumentowany i nieautoryzowany interfejs komunikacyjny TCF na określonym porcie. Umożliwia to tworzenie, usuwanie lub modyfikowanie plików, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-52207
Krytyczne

W MikoPBX w wersji do 2024.1.114 występuje podatność w pliku PostController.php, która umożliwia przesyłanie skryptów PHP do dowolnego katalogu.

CVE-2024-12364
Krytyczne

W podatności CVE-2024-12364 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Mavi Yeşil Software Guest Tracking Software. Problem ten dotyczy oprogramowania do śledzenia gości.

CVE-2024-12150
Krytyczne

Podatność CVE-2024-12150 dotyczy oprogramowania Wowwo CRM firmy Eron Software i polega na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co umożliwia atak typu Blind SQL Injection.

PoprzedniaStrona 249 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS