Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-52572
Krytyczne

Hikka, użytkownik bota Telegram, ma podatność, która dotyczy wszystkich użytkowników we wszystkich wersjach. Istnieją dwa scenariusze: brak uwierzytelnionej sesji w interfejsie webowym, co pozwala atakującemu na zdalne wykonanie kodu (RCE), oraz uwierzytelniona sesja, gdzie użytkownicy mogą przypadkowo zezwolić atakującemu na dostęp do swoich kont Telegram.

CVE-2025-52571
Krytyczne

Hikka to bot użytkownika Telegram. Podatność dotyczy wszystkich użytkowników wersji poniżej 1.6.2, w tym większości forków, i pozwala nieautoryzowanemu atakującemu uzyskać dostęp do konta Telegram ofiary oraz pełny dostęp do serwera. Problem został naprawiony w wersji 1.6.2.

CVE-2025-4378
Krytyczne

W aplikacji mobilnej ATA-AOF Uniwersytetu Atatürka występuje podatność związana z przesyłaniem wrażliwych informacji w postaci niezaszyfrowanej oraz używaniem twardo zakodowanych poświadczeń, co umożliwia nadużycie uwierzytelnienia oraz obejście procesu uwierzytelniania.

CVE-2025-4383
Krytyczne

Podatność CVE-2025-4383 dotyczy niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia w Wi-Fi Cloud Hotspot firmy Art-in Bilişim Teknolojileri ve Yazılım Hizm. Tic. Ltd. Şti. Umożliwia to nadużycie uwierzytelnienia oraz obejście procesu uwierzytelniania.

CVE-2025-32977
Krytyczne

Quest KACE Systems Management Appliance (SMA) w wersjach 13.0.x przed 13.0.385, 13.1.x przed 13.1.81, 13.2.x przed 13.2.183, 14.0.x przed 14.0.341 (Patch 5) oraz 14.1.x przed 14.1.101 (Patch 4) pozwala nieautoryzowanym użytkownikom na przesyłanie plików kopii zapasowej do systemu. Mimo że wprowadzono walidację podpisu, istnieją słabości w tym procesie, które mogą być wykorzystane do przesyłania złośliwej zawartości kopii zapasowej, co może zagrozić integralności systemu.

CVE-2025-32975
Krytyczne

Podatność w Quest KACE Systems Management Appliance (SMA) umożliwia atakującym ominięcie uwierzytelniania i podszycie się pod prawdziwych użytkowników bez ważnych poświadczeń. Dotyczy wersji 13.0.x przed 13.0.385, 13.1.x przed 13.1.81, 13.2.x przed 13.2.183, 14.0.x przed 14.0.341 (Patch 5) oraz 14.1.x przed 14.1.101 (Patch 4).

CVE-2025-6433
Krytyczne

Podatność CVE-2025-6433 pozwalała na wywołanie wyzwania WebAuthn na stronie z nieprawidłowym certyfikatem TLS, jeśli użytkownik zgodził się na wyjątek. To narusza specyfikację WebAuthN, która wymaga bezbłędnego ustanowienia bezpiecznego transportu.

CVE-2025-6427
Krytyczne

Atakujący mógł obejść dyrektywę `connect-src` w Polityce Bezpieczeństwa Treści, manipulując poddokumentami. W wyniku tego połączenia byłyby ukryte w zakładce Sieć w narzędziach deweloperskich.

CVE-2025-6424
Krytyczne

W podatności CVE-2025-6424 występuje błąd use-after-free w FontFaceSet, który może prowadzić do potencjalnie wykonalnego awarii. Problem został naprawiony w wersjach Firefox 140, Firefox ESR 115.25, Firefox ESR 128.12, Thunderbird 140 oraz Thunderbird 128.12.

CVE-2025-48890
Krytyczne

Podatność CVE-2025-48890 dotyczy urządzeń WRH-733GBK i WRH-733GWH, które zawierają niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemu operacyjnego, co prowadzi do podatności na wstrzyknięcie poleceń systemowych w usłudze miniigd SOAP. Zdalny, nieautoryzowany atakujący może wysłać specjalnie przygotowane żądanie, co pozwala na wykonanie dowolnego polecenia systemowego.

CVE-2025-43879
Krytyczne

WRH-733GBK i WRH-733GWH zawierają podatność na wstrzykiwanie poleceń systemowych ('OS Command Injection') w funkcji telnet, spowodowaną niewłaściwym neutralizowaniem specjalnych elementów. Zdalny, nieautoryzowany atakujący może wysłać specjalnie przygotowane żądanie, co może skutkować wykonaniem dowolnego polecenia systemowego.

CVE-2025-6560
Krytyczne

Wiele modeli routerów bezprzewodowych firmy Sapido ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu i zdobyć hasła administratora w postaci niezaszyfrowanej.

CVE-2025-6559
Krytyczne

Wiele modeli routerów bezprzewodowych od Sapido posiada podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonanie na serwerze. Affected models są już poza wsparciem.

CVE-2025-52562
Krytyczne

Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.

CVE-2023-47031
Krytyczne

Podatność w NCR Terminal Handler v.1.5.1 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez spreparowane żądanie POST do komponentów SOAP API: grantRolesToUsers, grantRolesToGroups i grantRolesToOrganization.

CVE-2025-6513
Krytyczne

Standardowi użytkownicy systemu Windows mają dostęp do pliku konfiguracyjnego aplikacji BRAIN2, który służy do uzyskiwania dostępu do bazy danych, i mogą go odszyfrować.

CVE-2025-6512
Krytyczne

Na kliencie z użytkownikiem niebędącym administratorem, skrypt może zostać zintegrowany z raportem. Raporty te mogą być później wykonywane na serwerze BRAIN2 z uprawnieniami administratora.

CVE-2025-52921
Krytyczne

W wersji Innoshop do 0.4.1, uwierzytelniony atakujący może wykorzystać funkcje Menedżera Plików w panelu administracyjnym do wykonania kodu na serwerze, przesyłając spreparowany plik i zmieniając jego nazwę na .php. Obejście początkowej weryfikacji, która sprawdza, czy przesyłane pliki są plikami graficznymi, jest możliwe dzięki użyciu narzędzi proxy.

CVE-2024-45347
Krytyczne

W aplikacji Xiaomi Mi Connect Service występuje podatność na nieautoryzowany dostęp. Problem wynika z błędnej logiki walidacji, co umożliwia atakującym uzyskanie nieautoryzowanego dostępu do urządzenia ofiary.

CVE-2025-49132
Krytyczne

Pterodactyl to darmowy, otwartoźródłowy panel zarządzania serwerami gier. Przed wersją 1.11.11, wykorzystując /locales/locale.json z parametrami zapytania locale i namespace, złośliwy aktor mógł wykonać dowolny kod bez uwierzytelnienia.

PoprzedniaStrona 251 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS