Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-30618
Krytyczne

Podatność CVE-2025-30618 dotyczy deserializacji niezaufanych danych w rozszerzeniu Rapyd Payment dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji rozszerzenia od n/a do 1.2.0 włącznie.

CVE-2025-24773
Krytyczne

W podatności CVE-2025-24773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce mojoomla WPCRM dla formularza kontaktowego CF7 oraz WooCommerce. Problem dotyczy wersji WPCRM od n/a do 3.2.0 włącznie.

CVE-2025-4404
KrytyczneEPSS 76%

W projekcie FreeIPA odkryto podatność umożliwiającą eskalację uprawnień z hosta do domeny. Brak walidacji unikalności atrybutu `krbCanonicalName` dla konta administratora pozwala na utworzenie usługi o tej samej nazwie kanonicznej co admin REALM. Udany atak umożliwia uzyskanie biletu Kerberosa z poświadczeniami admin@REALM.

CVE-2025-49796
KrytyczneEPSS 70%

W bibliotece libxml2 wykryto podatność polegającą na uszkodzeniu pamięci podczas przetwarzania określonych elementów sch:name z pliku XML. Atakujący może stworzyć złośliwy plik XML, który doprowadzi do awarii libxml, powodując odmowę usługi lub inne nieprzewidziane zachowania z powodu uszkodzenia wrażliwych danych w pamięci.

CVE-2025-49794
Krytyczne

W bibliotece libxml2 odkryto podatność use-after-free podczas parsowania elementów XPath w określonych warunkach, gdy schemat XML zawiera elementy <sch:name path="..."/>. Błąd umożliwia atakującemu przygotowanie złośliwego dokumentu XML, który po przetworzeniu przez libxml może spowodować awarię programu lub inne nieprzewidziane zachowania.

CVE-2025-40916
Krytyczne

Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.

CVE-2025-6172
Krytyczne

W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.

CVE-2025-6169
Krytyczne

Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-6065
Krytyczne

Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-46060
KrytyczneEPSS 53%

W routerze TOTOLINK N600R w wersji oprogramowania 4.3.0cu.7866_B2022506 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent UPLOAD_FILENAME do wykonania dowolnego kodu.

CVE-2025-29902
Krytyczne

Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.

CVE-2025-46783
Krytyczne

W RICOH Streamline NX V3 PC Client w wersjach od 3.5.0 do 3.242.0 występuje podatność na przejście ścieżki. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na komputerze, na którym działa produkt, poprzez manipulację określonymi plikami używanymi przez produkt.

CVE-2025-5288
Krytyczne

Wtyczka REST API | Custom API Generator For Cross Platform And Import Export w WordPressie jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji process_handler(). Atakujący bez uwierzytelnienia mogą wysłać dowolny URL import_api oraz zaimportować specjalnie przygotowany JSON, co pozwala na utworzenie nowego użytkownika z pełnymi uprawnieniami Administratora.

CVE-2022-4976
Krytyczne

Biblioteka Archive::Unzip::Burst w wersjach od 0.01 do 0.09 dla Perla zawiera zintegrowaną bibliotekę InfoZip, która jest podatna na kilka luk w zabezpieczeniach.

CVE-2025-40912
Krytyczne

CryptX dla Perla przed wersją 0.065 zawiera zależność, która może być podatna na źle sformatowany unicode. Biblioteka tomcrypt, osadzona w CryptX, w wersjach przed 0.065 może być podatna na CVE-2019-17362.

CVE-2025-40914
Krytyczne

Perl CryptX przed wersją 0.087 zawiera zależność, która może być podatna na przepełnienie całkowite. Biblioteka CryptX osadza wersję biblioteki libtommath, która jest podatna na przepełnienie całkowite związane z CVE-2023-36328.

CVE-2025-32711
Krytyczne

W M365 Copilot występuje podatność na wstrzyknięcie poleceń AI, która umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2025-49710
Krytyczne

W `OrderedHashTable` używanym przez silnik JavaScript wystąpił przepełnienie całkowitej liczby całkowitej. Ta podatność została naprawiona w Firefoxie 139.0.4.

CVE-2025-49709
Krytyczne

Niektóre operacje na kanwie mogły prowadzić do uszkodzenia pamięci. Ta podatność została naprawiona w wersji Firefox 139.0.4.

CVE-2025-41663
Krytyczne

W API zarządzania u-link, nieautoryzowany atakujący w pozycji man-in-the-middle może wstrzykiwać dowolne polecenia w odpowiedziach zwracanych przez serwery WWH, które są następnie wykonywane z podwyższonymi uprawnieniami. Aby uzyskać taką pozycję, klienci muszą korzystać z niebezpiecznych konfiguracji proxy.

PoprzedniaStrona 253 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS