Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-32643
Krytyczne

W podatności CVE-2025-32643 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji mojoomla WPGYM. Problem ten dotyczy wersji WPGYM od n/a do 65.0.

CVE-2025-47275
Krytyczne

Auth0-PHP to PHP SDK dla API uwierzytelniania i zarządzania Auth0. W wersjach od 8.0.0-BETA1 do przed 8.14.0, ciasteczka sesyjne aplikacji korzystających z Auth0-PHP SDK skonfigurowanych z CookieStore mają tagi uwierzytelniające, które mogą być łamane metodą brute force, co może prowadzić do nieautoryzowanego dostępu.

CVE-2025-47928
Krytyczne

Spotipy to biblioteka Pythona dla Spotify Web API. W wyniku użycia `pull_request_target` w pliku `.github/workflows/integration_tests.yml` oraz sprawdzenia head.sha z forka PR, atakujący mogą wykonać nieufny kod, uzyskując pełny dostęp do sekretów z repozytorium bazowego, w tym `GITHUB_TOKEN` oraz `SPOTIPY_CLIENT_ID`, `SPOTIPY_CLIENT_SECRET`.

CVE-2025-4564
Krytyczne

Wtyczka TicketBAI Facturas dla WooCommerce w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji 'delpdf' we wszystkich wersjach do 3.18 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.

CVE-2025-32002
Krytyczne

W firmware dysku sieciowego I-O DATA 'HDL-T Series' w wersji 1.21 i wcześniejszych, przy włączonej funkcji 'Remote Link3', występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe.

CVE-2025-3917
Krytyczne

Wtyczka 百度站长SEO合集 dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji download_remote_image_to_media_library we wszystkich wersjach do i włącznie z 2.0.6. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-32363
Krytyczne

mediDOK w wersjach przed 2.5.18.43 umożliwia zdalnym atakującym wykonanie złośliwego kodu na docelowym systemie poprzez deserializację nieufnych danych.

CVE-2025-33025
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 (wszystkie wersje < V2.16.5). Narzędzie 'traceroute' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2025-33024
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 oraz RX5000 w wersjach poniżej V2.16.5. Narzędzie 'tcpdump' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2025-32469
Krytyczne

Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 w wersjach poniżej V2.16.5. Narzędzie 'ping' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.

CVE-2023-49641
Krytyczne

Oprogramowanie do fakturowania w wersji 1.0 jest podatne na wiele nieautoryzowanych ataków typu SQL Injection. Parametr 'username' w zasobie loginCheck.php nie waliduje otrzymywanych znaków, które są przesyłane do bazy danych bez filtracji.

CVE-2025-30448
Krytyczne

Podatność umożliwia atakującemu włączenie udostępniania folderu iCloud bez wymaganego uwierzytelnienia. Problem został rozwiązany poprzez dodatkowe kontrole uprawnień w systemach iOS 18.5, iPadOS 18.5, iPadOS 17.7.7, macOS Sequoia 15.4, macOS Sonoma 14.7.6, macOS Ventura 13.7.6 oraz visionOS 2.5.

CVE-2025-47682
Krytyczne

W podatności CVE-2025-47682 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Cozy Vision SMS Alert Order Notifications. Problem dotyczy wersji od n/a do 3.8.1 włącznie.

CVE-2025-4559
Krytyczne

ISOinsight od Netvision zawiera podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2025-4558
Krytyczne

GPM od WormHole Tech posiada podatność na niezweryfikowaną zmianę hasła, która pozwala nieautoryzowanym atakującym zdalnym na zmianę hasła dowolnego użytkownika i zalogowanie się do systemu przy użyciu zmodyfikowanego hasła.

CVE-2025-4557
Krytyczne

System zarządzania parkingiem firmy ZONG YU posiada lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na dostęp do określonych interfejsów API oraz wykonywanie funkcji systemowych. Funkcje te obejmują otwieranie bram i restartowanie systemu.

CVE-2025-4556
Krytyczne

Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma podatność na nieautoryzowane przesyłanie plików, co pozwala zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.

CVE-2025-4555
Krytyczne

Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do funkcji systemowych. Funkcje te obejmują otwieranie bram, przeglądanie tablic rejestracyjnych oraz rekordów parkingowych, a także restartowanie systemu.

CVE-2025-28200
Krytyczne

Urządzenie Victure RX1800 (wersja oprogramowania EN_V1.0.0_r12_110933) używa domyślnego hasła składającego się z ostatnich 8 cyfr adresu MAC. To sprawia, że hasło jest łatwe do odgadnięcia przez osoby znające adres MAC urządzenia.

CVE-2024-12442
Krytyczne

Wersje EnerSys AMPA od 24.04 do 24.16 są podatne na wstrzykiwanie poleceń, co może prowadzić do uzyskania zdalnego dostępu z uprawnieniami administratora.

PoprzedniaStrona 261 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS