Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-2470
Krytyczne

Wtyczka Service Finder Bookings dla WordPressa, używana w motywie Service Finder - Directory and Job Board, jest podatna na eskalację uprawnień we wszystkich wersjach do 5.1 włącznie. Problem wynika z braku ograniczeń dotyczących ról użytkowników w funkcji 'nsl_registration_store_extra_input'.

CVE-2025-46616
Krytyczne

API interfejsu graficznego Quantum StorNext przed wersją 7.2.4 umożliwia potencjalne zdalne wykonanie dowolnego kodu (RCE) poprzez przesłanie pliku. Dotyczy to również StorNext RYO, StorNext Xcellis Workflow Director oraz ActiveScale Cold Storage przed wersją 7.2.4.

CVE-2025-46275
Krytyczne

WGS-80HPT-V2 oraz WGS-4215-8T2S mają lukę w zabezpieczeniach, która pozwala atakującemu na utworzenie konta administratora bez znajomości jakichkolwiek istniejących poświadczeń. Brak autoryzacji stwarza poważne zagrożenie dla systemu.

CVE-2025-46274
Krytyczne

UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, co może pozwolić nieautoryzowanemu atakującemu na odczyt, manipulację oraz tworzenie wpisów w zarządzanej bazie danych.

CVE-2025-46273
Krytyczne

UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, które mogą umożliwić nieautoryzowanemu atakującemu uzyskanie uprawnień administracyjnych do wszystkich urządzeń zarządzanych przez UNI-NMS.

CVE-2025-46272
Krytyczne

Urządzenia WGS-80HPT-V2 i WGS-4215-8T2S są podatne na atak typu injection komend, który może umożliwić nieautoryzowanemu atakującemu wykonanie poleceń systemu operacyjnego na systemie gospodarza.

CVE-2025-46271
Krytyczne

UNI-NMS-Lite jest podatny na atak typu injection poleceń, który może umożliwić nieautoryzowanemu atakującemu odczyt lub manipulację danymi urządzenia.

CVE-2025-43859
Krytyczne

h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.

CVE-2025-43858
Krytyczne

YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.

CVE-2025-46264
Krytyczne

Podatność CVE-2025-46264 wtyczki PowerPress Podcasting umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji PowerPress Podcasting od n/a do 11.12.5 włącznie.

CVE-2025-46248
Krytyczne

Podatność CVE-2025-46248 dotyczy niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w aplikacji Frontend Dashboard w wersjach od n/a do 2.2.5.

CVE-2025-3604
Krytyczne

Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-3603
Krytyczne

Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.

CVE-2025-3065
Krytyczne

Wtyczka Database Toolset jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji we wszystkich wersjach do i włącznie z 1.8.4. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-37087
Krytyczne

Podatność w usłudze cmdb menedżera klastrów wydajności HPE (HPCM) może umożliwić atakującemu dostęp do dowolnego pliku na hoście serwera.

CVE-2025-43951
Krytyczne

LabVantage przed wersją LV 8.8.0.13 HF6 umożliwia lokalne włączenie plików. Użytkownicy z autoryzacją mogą pobierać dowolne pliki z systemu za pomocą parametru request objectname.

CVE-2025-43949
Krytyczne

MuM MapEdit w wersji 24.2.3 jest podatny na atak typu SQL Injection, co pozwala atakującemu na wykonanie złośliwych zapytań SQL, które mogą kontrolować serwer bazy danych aplikacji webowej.

CVE-2024-58250
Krytyczne

Wtyczka passprompt w pppd w ppp przed wersją 2.5.2 niewłaściwie zarządza uprawnieniami.

CVE-2025-32958
Krytyczne

Adept to język ogólnego przeznaczenia. Przed poprawką a1a41b7, plik workflow remoteBuild.yml używał actions/upload-artifact@v4 do przesyłania artefaktu mac-standalone, który zawierał plik .git/config z tokenem GITHUB_TOKEN, co stwarzało ryzyko jego wycieku.

CVE-2025-29287
Krytyczne

W komponencie ueditor systemu MCMS w wersji 5.4.3 wykryto podatność umożliwiającą dowolne przesyłanie plików. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu poprzez przesłanie spreparowanego pliku.

PoprzedniaStrona 264 z 574Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS