Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-60419
Średnie

W sterowniku NDIS Usermode IO (RtkIOAC60.sys) w wersji 6.0.5600.16348 wykryto podatność, która pozwala lokalnie uwierzytelnionemu atakującemu na wysłanie spreparowanego żądania IOCTL, powodując odmowę usługi (DoS).

CVE-2025-60729
Średnie

W PerfreeBlog w wersji 4.0.11 wykryto podatność na dowolny odczyt plików w funkcji validThemeFilePath. Umożliwia ona atakującemu odczytanie dowolnych plików na serwerze.

CVE-2025-56438
Średnie

Podatność w mechanizmie aktualizacji oprogramowania sprzętowego kamery Nous W3 Smart WiFi Camera w wersji 1.33.50.82 umożliwia nieuwierzytelnionym atakującym z fizycznym dostępem podniesienie uprawnień do poziomu roota poprzez dostarczenie spreparowanego archiwum update.tar na karcie SD sformatowanej w systemie FAT32.

CVE-2025-60837
Średnie

W MCMS v6.0.1 wykryto podatność na odbity cross-site scripting (XSS). Umożliwia ona atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez spreparowany atak.

CVE-2025-10727
Średnie

W podatności CVE-2025-10727 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w oprogramowaniu AcBakImzala firmy ArkSigner Software and Hardware Inc., co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji AcBakImzala przed 5.1.4.

CVE-2025-60511
Średnie

Wtyczka Moodle OpenAI Chat Block w wersji 3.0.1 (2025021700) zawiera podatność IDOR z powodu niewystarczającej walidacji parametru blockId w /blocks/openai_chat/api/completion.php. Uwierzytelniony student może podszyć się pod blok innego użytkownika (np. administratora) i wysyłać zapytania wykonywane z konfiguracją tego bloku.

CVE-2025-10612
Średnie

Podatność CVE-2025-10612 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w City Guide od giSoft Information Technologies, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.4.45.

CVE-2025-40005
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z obsługą odpinania sterownika podczas operacji odczytu i zapisu. Wprowadzone zmiany implementują licznik odniesień, który pozwala na bezpieczne usunięcie urządzeń przed odpięciem sterownika.

CVE-2025-8884
Średnie

Podatność CVE-2025-8884 dotyczy oprogramowania ACE Center firmy VHS Electronic Software Ltd. Co. i pozwala na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co może prowadzić do nadużycia uprawnień oraz wykorzystania zaufanych identyfikatorów.

CVE-2025-56320
Średnie

Podatność Stored XSS w komponencie czatu CobbleStone Enterprise Contract Management Portal w wersji 22.4.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w przeglądarce ofiary. Producent informuje, że problem dotyczy wyłącznie przestarzałej, niewspieranej wersji, która nie jest już używana.

CVE-2025-60641
Średnie

W pliku mexcel.php w Vfront 0.99.52 występuje podatność na deserializację niesprawdzonego wejścia użytkownika. Funkcja unserialize jest wywoływana na danych z $_POST['mexcel'] po dekodowaniu base64, bez walidacji i bez ograniczenia dozwolonych klas. Umożliwia to atakującemu wstrzyknięcie dowolnych obiektów PHP, co może prowadzić do zdalnego wykonania kodu, wstrzyknięcia SQL, przejścia ścieżek lub odmowy usługi.

CVE-2025-60639
Średnie

W kodzie źródłowym ATLAS-EPIC w commit f29312c (z 2025-05-26) znaleziono zakodowane na stałe poświadczenia (hardcoded credentials). Oznacza to, że dane uwierzytelniające są bezpośrednio osadzone w repozytorium, co umożliwia ich odczytanie każdemu, kto ma dostęp do kodu.

CVE-2025-11568
Średnie

Podatność w narzędziu luksmeta dla formatu LUKS1 umożliwia uszkodzenie danych przez zapis zbyt dużej ilości metadanych. Brak walidacji dostępnego miejsca powoduje nadpisanie i trwałe zniszczenie zaszyfrowanych danych użytkownika.

CVE-2025-9640
Średnie

W module vfs_streams_xattr oprogramowania Samba stwierdzono wadę polegającą na zapisywaniu niezainicjalizowanej pamięci sterty do alternatywnych strumieni danych. Umożliwia to uwierzytelnionemu użytkownikowi odczytanie resztkowej zawartości pamięci, która może zawierać wrażliwe dane, prowadząc do wycieku informacji.

CVE-2025-31366
Średnie

Podatność typu Reflected XSS w FortiOS, FortiProxy i FortiSASE umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów w przeglądarce ofiary poprzez spreparowane żądania HTTP. Problem wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania strony internetowej.

CVE-2025-60838
Średnie

W MCMS v6.0.1 wykryto podatność umożliwiającą dowolne przesyłanie plików. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu poprzez przesłanie spreparowanego pliku.

CVE-2025-60308
Średnie

W systemie Simple Online Hotel Reservation System 1.0 wykryto podatność na atak XSS w funkcji dodawania pokoju. Złośliwy kod JavaScript wprowadzony w polu Description może wykraść ciasteczka administratora podczas przeglądania informacji o pokoju.

CVE-2025-8887
Średnie

Podatność CVE-2025-8887 w systemie Aybs Interaktif firmy Usta Information Systems Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania, wstrzykiwania parametrów oraz manipulacji danymi wejściowymi. Problem ten występuje od 2024 roku do 28 sierpnia 2025 roku.

CVE-2025-8886
Średnie

Podatność CVE-2025-8886 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w systemie Aybs Interaktif, co prowadzi do możliwości nadużycia uprawnień oraz ominięcia autoryzacji. Problem ten może skutkować ujawnieniem wrażliwych informacji osobom nieuprawnionym.

CVE-2025-60304
Średnie

W systemie Simple Scheduling System 1.0 od code-projects wykryto podatność na atak typu Cross Site Scripting (XSS) w polu Subject Description. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript do strony.

PoprzedniaStrona 259 z 550Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS