Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność CVE-2024-12143 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Mobilteg Mobile Informatics Mikro Hand Terminal - MikroDB.
Podatność CVE-2024-11739 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie Case Informatics Case ERP. Problem ten dotyczy wersji Case ERP przed V2.0.1.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce sh1zen WP Optimizer wp-optimizer umożliwia wykonanie ataku SQL Injection. Problem ten dotyczy wersji WP Optimizer od n/a do 2.5.0 włącznie.
Podatność CVE-2025-53260 dotyczy wtyczki File Manager dla WordPressa, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
W podatności CVE-2025-52834 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Homey w wersjach od n/a do 2.4.7.
W podatności CVE-2025-52829 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce DirectIQ Email Marketing. Problem ten dotyczy wersji od n/a do 2.0 włącznie.
Podatność CVE-2025-52725 dotyczy deserializacji niezaufanych danych w systemie CouponXxL, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CouponXxL od n/a do 3.0.0 włącznie.
Podatność CVE-2025-52724 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes Amwerk, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Amwerk od n/a do 1.2.0 włącznie.
W podatności CVE-2025-52722 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w klasie Classiera. Problem dotyczy wersji Classiera od n/a do 4.0.34 włącznie.
W podatności CVE-2025-52717 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce LifterLMS. Problem ten dotyczy wersji LifterLMS od n/a do 8.0.6.
Podatność CVE-2025-49885 dotyczy wtyczki HaruTheme Drag and Drop Multiple File Upload (Pro) dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
Podatność CVE-2025-39474 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w ThemeMove Amely. Problem ten dotyczy wersji Amely od n/a do 3.1.4 włącznie.
Podatność CVE-2025-28970 dotyczy deserializacji niezaufanych danych w wtyczce WP Optimize By xTraffic, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 5.1.6 włącznie.
Wtyczka GG Bought Together dla WooCommerce zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji od n/a do 1.0.2.
Motyw DWT - Directory & Listing dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.3.6 włącznie. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed zresetowaniem hasła użytkownika w funkcji dwt_listing_reset_password().
W podatności typu 'Brak uwierzytelnienia dla krytycznej funkcji' w produktach Mitsubishi Electric Corporation, atakujący zdalny i nieautoryzowany może obejść proces uwierzytelniania, co pozwala na nielegalne kontrolowanie systemów klimatyzacyjnych lub ujawnianie informacji w nich zawartych. Dodatkowo, atakujący może manipulować oprogramowaniem układowym tych urządzeń.
Serwer Northern.tech Mender w wersjach przed 3.7.11 oraz 4.x przed 4.0.1 ma błędną kontrolę dostępu. To może prowadzić do nieautoryzowanego dostępu do zasobów systemowych.
Niektóre modele hybrydowych rejestratorów wideo (HBF-09KD i HBF-16NK) firmy Hunt Electronic mają podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu oraz pozyskać hasła administratora w postaci niezaszyfrowanej.
Wtyczka Simple User Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 6.3 włącznie. Problem wynika z niewystarczających ograniczeń dotyczących wartości meta użytkownika, które mogą być podawane podczas rejestracji.
Nieautoryzowany atakujący, znający numer seryjny docelowego urządzenia, może wygenerować domyślne hasło administratora dla tego urządzenia. Atakujący może najpierw odkryć numer seryjny urządzenia za pomocą CVE-2024-51977 przez HTTP/HTTPS/IPP, lub za pomocą żądania PJL, lub przez żądanie SNMP.

