Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W projekcie Projectopia występuje podatność związana z nieprawidłowym przypisaniem uprawnień, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji Projectopia od n/a do 5.1.24.
W podatności CVE-2025-32636 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Local Magic w wersjach od n/a do 2.9.0. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
W podatności CVE-2025-32626 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w JoomSky JS Job Manager w wersjach od n/a do 2.0.2. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
W podatności CVE-2025-32583 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w aplikacji PDF 2 Post w wersjach od n/a do 2.4.0. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na serwerze.
Podatność CVE-2025-32572 dotyczy deserializacji niezaufanych danych w motywie Climax Themes Kata Plus, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Kata Plus od n/a do 1.5.3 włącznie.
Podatność CVE-2025-31380 dotyczy słabego mechanizmu odzyskiwania hasła w systemie videowhisper Paid Videochat Turnkey Site, co umożliwia wykorzystanie tego mechanizmu do odzyskiwania haseł. Problem ten dotyczy wersji od n/a do 7.3.11 włącznie.
W podatności CVE-2025-27302 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji CHATLIVE. Problem dotyczy wersji CHATLIVE od n/a do 2.0.1 włącznie.
Podatność CVE-2025-27287 dotyczy deserializacji niezaufanych danych w aplikacji SS Quiz, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SS Quiz od n/a do 2.0.5 włącznie.
Podatność CVE-2025-27286 dotyczy deserializacji niezaufanych danych w wtyczce Saoshyant Slider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.0 włącznie.
Podatność CVE-2025-27282 dotyczy motywu Theme File Duplicator, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
W podatności CVE-2025-22655 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CWD – Stealth Links w wersjach od n/a do 1.3. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
Produkt Hitachi Vantara Pentaho Data Integration & Analytics w wersjach przed 10.2.0.2, w tym 9.3.x i 8.3.x, nie ogranicza identyfikatorów JNDI podczas tworzenia źródeł danych platformy. To może prowadzić do wykorzystania identyfikatorów jako odniesień do zasobów spoza zamierzonej kontroli.
Problem ten został rozwiązany poprzez usunięcie podatnego kodu. Został naprawiony w wersjach iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1 oraz visionOS 2.4.1.
Wystąpił problem z uszkodzeniem pamięci, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, visionOS 2.4.1 oraz watchOS 11.5.
W podatności CVE-2025-39601 występuje problem Cross-Site Request Forgery (CSRF) w wtyczce WPFactory Custom CSS, JS & PHP, który umożliwia zdalne włączenie kodu. Dotyczy to wersji wtyczki od n/a do 2.4.1 włącznie.
Podatność CVE-2025-39557 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Kadence WooCommerce Email Designer, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.5.14.
Zidentyfikowano podatność w Rancher, która pozwala na ucieczkę z chroot jail i uzyskanie dostępu root do kontenera Rancher. W środowiskach produkcyjnych możliwe jest dalsze eskalowanie uprawnień, a w środowiskach testowych i deweloperskich, przy użyciu kontenera Docker z flagą –privileged, można uciec z kontenera Docker i uzyskać dostęp do systemu hosta.
Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.
NATS-Server, serwer wysokowydajny dla systemu wiadomości NATS.io, ma lukę w zarządzaniu zasobami JetStream w wersjach od 2.2.0 do przed 2.10.27 oraz 2.11.1. Niektóre żądania API JS nie miały odpowiednich kontroli dostępu, co pozwalało użytkownikom z uprawnieniami do zarządzania JS w jednym koncie na wykonywanie działań administracyjnych na zasobach JS w innych kontach.
Podatność typu Cross-Site Request Forgery (CSRF) w NotFound WPJobBoard umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy WPJobBoard w nieokreślonym zakresie wersji.

