Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka UrbanGo Membership dla WordPressa jest podatna na eskalację uprawnień w wersjach do 1.0.4 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, co pozwala na przypisanie roli administratora.
Nieprawidłowe zarządzanie sesjami w punkcie końcowym /login_ok.htm w DAEnetIP4 METO v1.25 umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
Nieprawidłowe zarządzanie sesjami w oprogramowaniu układowym Elber REBLE310 w wersji v5.5.1.R umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
W nadajnikach serii Nautel VX w wersji oprogramowania VX SW v6.4.0 i wcześniejszych odkryto podatność na zdalne wykonanie kodu (RCE) w procesie aktualizacji firmware'u. Atakujący mogą wykonać dowolny kod, dostarczając spreparowany pakiet aktualizacyjny do punktu końcowego /#/software/upgrades.
Błąd w kontroli dostępu w urządzeniach BW Broadcast TX600, TX300, TX150, TX1000, TX30 i TX50 umożliwia atakującym dostęp do plików dziennika oraz wydobycie identyfikatorów sesji. To może prowadzić do ataku typu hijacking sesji.
Nieprawidłowa kontrola dostępu w Itel Electronics IP Stream w wersji 1.7.0.6 umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń z uprawnieniami administratora.
W produktach rejestrujących dostarczanych przez firmę Yokogawa Electric Corporation zidentyfikowano niebezpieczne domyślne ustawienia. Funkcja uwierzytelniania jest domyślnie wyłączona, co pozwala na dostęp do wszystkich funkcji związanych z ustawieniami i operacjami przez nieautoryzowanych użytkowników.
W podatności CVE-2025-39471 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Modal Survey w wersjach od n/a do 2.0.2.0.1.
W podatności CVE-2025-39596 występuje słaba autoryzacja w wtyczce Quentn WP, co umożliwia eskalację uprawnień. Problem dotyczy wersji Quentn WP od n/a do 1.2.8 włącznie.
W podatności CVE-2025-39595 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w Quentn WP. Problem dotyczy wersji Quentn WP od n/a do 1.2.8.
Podatność CVE-2025-39588 dotyczy deserializacji niezaufanych danych w dodatkach Ultimate Store Kit Elementor. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
W podatności CVE-2025-39587 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w narzędziu Stylemix Cost Calculator Builder. Problem dotyczy wersji Cost Calculator Builder od n/a do 3.2.65 włącznie.
Podatność CVE-2025-39551 dotyczy deserializacji niezaufanych danych w FluentBoards, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentBoards od n/a do 1.47 włącznie.
Podatność CVE-2025-39550 dotyczy deserializacji niezaufanych danych w Shahjahan Jewel FluentCommunity, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FluentCommunity od n/a do 1.2.15 włącznie.
Podatność CVE-2025-39436 dotyczy aplikacji I Draw, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Może to prowadzić do wykorzystania złośliwych plików przez atakujących.
Podatność CVE-2025-32682 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG mapsvg-lite-interactive-vector-maps, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do 8.6.4 włącznie.
W podatności CVE-2025-32665 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji WebbyTemplate Office Locator. Problem dotyczy wersji Office Locator od n/a do 1.3.0 włącznie.
Podatność CVE-2025-32660 dotyczy menedżera zadań JS Job Manager w JoomSky, umożliwiając nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji JS Job Manager od n/a do 2.0.2 włącznie.
Podatność na deserializację niezaufanych danych w wtyczce wpWax HelpGent umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji HelpGent od n/a do 2.2.5 włącznie.
Podatność CVE-2025-32652 w Solace Extra pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Solace Extra od n/a do 1.3.1.

