Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2024-54855
Średnie

W systemie Vanilla OS 2 Core obraz v1.1.0 od fabricators Ltd wykryto statyczne klucze SSH, co umożliwia atakującym przeprowadzenie ataku typu man-in-the-middle podczas połączeń z innymi hostami.

CVE-2025-55462
Średnie

W Eramba Community i Enterprise w wersji 3.26.0 wykryto błędną konfigurację CORS, która pozwala na odbicie nagłówka Origin w odpowiedzi Access-Control-Allow-Origin z ustawioną flagą Access-Control-Allow-Credentials: true. Umożliwia to złośliwym stronom trzecim wykonywanie uwierzytelnionych żądań międzyoriginowych do API Eramba, w tym do endpointów /system-api/login i /system-api/user/me, co prowadzi do wycieku wrażliwych danych sesji użytkownika.

CVE-2025-65553
Średnie

System D3D Wi-Fi Home Security ZX-G12 v2.1.17 jest podatny na zagłuszanie RF na kanale czujnika alarmowego 433 MHz. Atakujący w zasięgu RF może transmitować ciągłe zakłócenia blokujące transmisje czujników, co prowadzi do pominięcia alarmów i utraty monitorowania bezpieczeństwa. Urządzenie nie posiada detekcji zagłuszania ani zabezpieczeń, co stwarza warunki do ataku DoS.

CVE-2026-22610
Średnie

W Angularze, platformie do tworzenia aplikacji webowych, zidentyfikowano podatność typu cross-site scripting (XSS) w kompilatorze szablonów. Problem wynika z niewłaściwego rozpoznawania atrybutów href i xlink:href w elementach SVG <script> jako kontekstu URL zasobów. Został on naprawiony w wersjach 19.2.18, 20.3.16, 21.0.7 oraz 21.1.0-rc.0.

CVE-2026-0707
Średnie

W Keycloak znaleziono lukę, która dotyczy parsera nagłówka autoryzacji. Parser ten jest zbyt tolerancyjny wobec formatowania schematu autoryzacji 'Bearer', akceptując niestandardowe znaki jako separatory oraz tolerując różnice w wielkości liter, które odbiegają od specyfikacji RFC 6750.

CVE-2025-67316
Średnie

W przeglądarce internetowej realme w wersji 45.13.4.1 wykryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu poprzez spreparowaną stronę internetową wbudowaną w przeglądarkę HeyTap/ColorOS. Producent kwestionuje to znalezisko, a sprawa jest w trakcie weryfikacji.

CVE-2025-59381
Średnie

Zgłoszono podatność typu przejście ścieżki, która dotyczy kilku wersji systemu operacyjnego QNAP. Zdalny atakujący posiadający konto administratora może wykorzystać tę podatność do odczytu zawartości nieoczekiwanych plików lub danych systemowych.

CVE-2024-55374
Średnie

Podatność w REDCap 14.3.13 umożliwia atakującemu enumerację nazw użytkowników poprzez obserwowalną różnicę w odpowiedziach na próby logowania.

CVE-2025-15128
Średnie

Wykryto podatność w ZKTeco BioTime do wersji 9.0.3/9.0.4/9.5.2, która dotyczy nieznanej części pliku /base/safe_setting/ komponentu Endpoint. Manipulacja argumentem backup_encryption_password_decrypt/export_encryption_password_decrypt prowadzi do niechronionego przechowywania poświadczeń.

CVE-2025-66737
Średnie

W telefonie Yealink T21P_E2 w wersji 52.84.0.15 wykryto podatność na przechodzenie do katalogów. Zdalny atakujący z podstawowymi uprawnieniami może odczytać dowolne pliki poprzez spreparowane żądanie do funkcji odczytu wyników komponentu diagnostycznego.

CVE-2025-2154
Średnie

Podatność CVE-2025-2154 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie Specto CM, co prowadzi do możliwości ataku typu Stored XSS. Problem ten dotyczy wersji przed 17032025.

CVE-2025-68340
Średnie

W jądrze Linuxa zidentyfikowano podatność, która występuje podczas dodawania urządzenia portowego do urządzenia typu team, gdy port jest już aktywny. Modyfikacja nagłówka urządzenia team może prowadzić do nieprawidłowego wskazywania danych prywatnych, co skutkuje błędami w działaniu systemu.

CVE-2025-67291
Średnie

W module Media systemu Piranha CMS w wersji 12.1 wykryto podatność na trwały atak XSS. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML w pole Name, co prowadzi do wykonania skryptów w przeglądarce ofiary.

CVE-2025-67290
Średnie

W Piranha CMS v12.1 w module Page Settings wykryto podatność na trwały cross-site scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do pola Excerpt, co prowadzi do wykonania skryptów w przeglądarce ofiary.

CVE-2025-1885
Średnie

Podatność typu 'Open Redirect' w systemie dostarczania jedzenia online firmy Restajet Information Technologies Inc. umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu oraz nieautoryzowanego przeglądania.

CVE-2025-7047
Średnie

W SoliClub od Utarit Informatics Services Inc. występuje luka związana z brakiem autoryzacji, która umożliwia nadużycie uprawnień. Problem dotyczy wersji przed 5.3.7.

CVE-2025-14347
Średnie

W podatności CVE-2025-14347 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w systemie OBS (Student Affairs Information System)0, co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji przed 26.5009.

CVE-2025-65427
Średnie

W routerze Dbit N300 T1 Pro z oprogramowaniem V1.0.0 brak ograniczenia szybkości żądań do endpointu /api/login, co umożliwia atakującym przeprowadzenie ataku brute-force na hasło.

CVE-2025-66963
Średnie

W urządzeniu Hitron HI3120 w wersji 7.2.4.5.2b1 wykryto podatność, która umożliwia lokalnemu atakującemu uzyskanie wrażliwych informacji poprzez opcję wylogowania w pliku index.html.

CVE-2025-67906
Średnie

W MISP przed wersją 2.5.28 występuje podatność na XSS w pliku app/View/Elements/Workflows/executionPath.ctp, co pozwala na wstrzyknięcie złośliwego kodu w ścieżce wykonania workflow.

PoprzedniaStrona 255 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS