Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-63401
Średnie

W produkcie HCLTech DRAGON przed wersją 7.6.0 wykryto podatność na atak typu Cross Site Scripting (XSS). Brak odpowiednich dyrektyw bezpieczeństwa umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w kontekście przeglądarki ofiary.

CVE-2025-65841
Średnie

Podatność w Aquarius Desktop 3.0.069 dla macOS polega na przechowywaniu danych uwierzytelniających użytkownika w pliku lokalnym przy użyciu słabego schematu zaciemniania. Hasło jest „szyfrowane” przez przewidywalną substytucję bajtów, którą można łatwo odwrócić, co umożliwia natychmiastowe odzyskanie jawnego tekstu.

CVE-2025-57202
Średnie

Podatność na trwałe skryptowanie między witrynami (XSS) w punkcie końcowym PwdGrp.cgi urządzenia AVTECH DGM1104 umożliwia atakującym wstrzyknięcie złośliwego kodu JavaScript lub HTML do pola nazwy użytkownika. Skuteczne wykorzystanie podatności pozwala na wykonanie dowolnych skryptów w kontekście przeglądarki ofiary.

CVE-2025-57200
ŚrednieEPSS 76%

W produkcie AVTECH SECURITY DGM1104 (wersja FullImg-1015-1004-1006-1003) wykryto uwierzytelnioną podatność na wstrzykiwanie poleceń w funkcji test_mail. Luka umożliwia atakującemu wykonanie dowolnych poleceń systemowych poprzez spreparowane dane wejściowe.

CVE-2025-65955
Średnie

W ImageMagick, przed wersjami 7.1.2-9 i 6.9.13-34, występuje podatność w warstwie Magick++, która pojawia się, gdy Options::fontFamily jest wywoływane z pustym ciągiem. To prowadzi do zwolnienia pamięci, ale pozostawia wskaźnik na zwolnionej pamięci, co może skutkować awariami lub uszkodzeniem sterty.

CVE-2025-13505
Średnie

Podatność CVE-2025-13505 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych, co prowadzi do ataków typu Cross-site Scripting (XSS). Dotyczy to wersji Datactive od 2.13.34 do przed 2.14.0.6, umożliwiając przechowywane XSS.

CVE-2025-66412
Średnie

W Angularze, przed wersjami 21.0.2, 20.3.15 i 19.2.17, zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) w kompilatorze szablonów. Problem wynika z niekompletności wewnętrznego schematu zabezpieczeń kompilatora, co pozwala atakującym na obejście wbudowanej sanitizacji bezpieczeństwa Angulara.

CVE-2025-65622
Średnie

W Snipe-IT przed wersją 8.3.4 odkryto podatność na trwały atak XSS w polu "Kraj" w lokalizacjach. Umożliwia ona uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie kodu JavaScript, który wykona się w sesji innego użytkownika.

CVE-2025-65621
Średnie

Podatność XSS w Snipe-IT przed wersją 8.3.4 umożliwia niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi wstrzyknięcie JavaScript, który wykonuje się w sesji administratora, co prowadzi do eskalacji uprawnień.

CVE-2025-13129
Średnie

Podatność w Seneka Software dotycząca niewłaściwego egzekwowania workflow behawioralnego pozwala na niewłaściwe wykorzystanie funkcjonalności. Problem dotyczy wersji Onaylarım od 25.09.26.01 do 18112025.

CVE-2025-13296
Średnie

W podatności CVE-2025-13296 występuje luka typu Cross-Site Request Forgery (CSRF) w oprogramowaniu T-Soft E-Commerce firmy Tekrom Technology Inc. Umożliwia ona przeprowadzenie ataku CSRF.

CVE-2025-65670
Średnie

W classroomio 0.1.13 wykryto podatność IDOR, która umożliwia studentom dostęp do wrażliwych endpointów administratora/nauczyciela poprzez manipulację identyfikatorami kursów w URL. Prowadzi to do chwilowego ujawnienia poufnych danych kursów, administratorów i studentów, zanim system przywróci normalne ograniczenia dostępu.

CVE-2025-65676
Średnie

W Classroomio LMS 0.1.13 odkryto podatność na trwały atak XSS. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript poprzez specjalnie spreparowane obrazy SVG używane jako zdjęcia okładek.

CVE-2025-65675
Średnie

W Classroomio LMS 0.1.13 odkryto podatność na trwały atak XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu poprzez spreparowane zdjęcia profilowe w formacie SVG.

CVE-2025-61167
Średnie

W systemie SIGB PMB w wersji 8.0.1.14 wykryto wiele podatności na wstrzykiwanie SQL w komponencie /opac_css/ajax_selector.php. Luki występują w parametrach id oraz datas.

CVE-2025-63674
Średnie

Podatność w kamerze bezpieczeństwa Blurams Lumi (A31C) w wersji oprogramowania v23.1227.472.2926 umożliwia lokalnemu atakującemu fizycznemu wykonanie dowolnego kodu poprzez nadpisanie bootloadera na karcie SD.

CVE-2025-64048
Średnie

W YCCMS 3.4 odkryto podatność na trwałe XSS w funkcji zarządzania artykułami. Problem występuje w pliku ArticleAction.class.php w funkcjach add() i getPost() z powodu braku odpowiedniej neutralizacji danych wejściowych w polu tytułu artykułu.

CVE-2025-64047
Średnie

W systemie OpenRapid RapidCMS 1.3.1 wykryto podatność na atak typu Cross Site Scripting (XSS) w pliku /user/user-move.php. Umożliwia ona wstrzyknięcie złośliwego skryptu do strony, który może zostać wykonany w przeglądarce ofiary.

CVE-2025-11963
Średnie

Podatność CVE-2025-11963 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w StarCities, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.1.61.

CVE-2025-0421
Średnie

Podatność CVE-2025-0421 dotyczy niewłaściwego ograniczenia renderowanych warstw interfejsu użytkownika lub ramek w oprogramowaniu Shopside firmy Shopside Software Technologies Inc. Problem ten występuje w wersji Shopside do 05022025, umożliwiając wykorzystanie nakładek iFrame.

PoprzedniaStrona 256 z 550Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS