Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-32648
Krytyczne

W projekcie Projectopia występuje podatność związana z nieprawidłowym przypisaniem uprawnień, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji Projectopia od n/a do 5.1.24.

CVE-2025-32636
Krytyczne

W podatności CVE-2025-32636 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Local Magic w wersjach od n/a do 2.9.0. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2025-32626
Krytyczne

W podatności CVE-2025-32626 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w JoomSky JS Job Manager w wersjach od n/a do 2.0.2. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2025-32583
Krytyczne

W podatności CVE-2025-32583 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w aplikacji PDF 2 Post w wersjach od n/a do 2.4.0. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu na serwerze.

CVE-2025-32572
Krytyczne

Podatność CVE-2025-32572 dotyczy deserializacji niezaufanych danych w motywie Climax Themes Kata Plus, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Kata Plus od n/a do 1.5.3 włącznie.

CVE-2025-31380
Krytyczne

Podatność CVE-2025-31380 dotyczy słabego mechanizmu odzyskiwania hasła w systemie videowhisper Paid Videochat Turnkey Site, co umożliwia wykorzystanie tego mechanizmu do odzyskiwania haseł. Problem ten dotyczy wersji od n/a do 7.3.11 włącznie.

CVE-2025-27302
Krytyczne

W podatności CVE-2025-27302 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji CHATLIVE. Problem dotyczy wersji CHATLIVE od n/a do 2.0.1 włącznie.

CVE-2025-27287
Krytyczne

Podatność CVE-2025-27287 dotyczy deserializacji niezaufanych danych w aplikacji SS Quiz, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SS Quiz od n/a do 2.0.5 włącznie.

CVE-2025-27286
Krytyczne

Podatność CVE-2025-27286 dotyczy deserializacji niezaufanych danych w wtyczce Saoshyant Slider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.0 włącznie.

CVE-2025-27282
Krytyczne

Podatność CVE-2025-27282 dotyczy motywu Theme File Duplicator, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.

CVE-2025-22655
Krytyczne

W podatności CVE-2025-22655 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CWD – Stealth Links w wersjach od n/a do 1.3. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2025-0756
Krytyczne

Produkt Hitachi Vantara Pentaho Data Integration & Analytics w wersjach przed 10.2.0.2, w tym 9.3.x i 8.3.x, nie ogranicza identyfikatorów JNDI podczas tworzenia źródeł danych platformy. To może prowadzić do wykorzystania identyfikatorów jako odniesień do zasobów spoza zamierzonej kontroli.

CVE-2025-31201
Krytyczne

Problem ten został rozwiązany poprzez usunięcie podatnego kodu. Został naprawiony w wersjach iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1 oraz visionOS 2.4.1.

CVE-2025-31200
Krytyczne

Wystąpił problem z uszkodzeniem pamięci, który został rozwiązany poprzez poprawę sprawdzania granic. Problem ten został naprawiony w iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, visionOS 2.4.1 oraz watchOS 11.5.

CVE-2025-39601
Krytyczne

W podatności CVE-2025-39601 występuje problem Cross-Site Request Forgery (CSRF) w wtyczce WPFactory Custom CSS, JS & PHP, który umożliwia zdalne włączenie kodu. Dotyczy to wersji wtyczki od n/a do 2.4.1 włącznie.

CVE-2025-39557
Krytyczne

Podatność CVE-2025-39557 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Kadence WooCommerce Email Designer, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.5.14.

CVE-2024-22036
Krytyczne

Zidentyfikowano podatność w Rancher, która pozwala na ucieczkę z chroot jail i uzyskanie dostępu root do kontenera Rancher. W środowiskach produkcyjnych możliwe jest dalsze eskalowanie uprawnień, a w środowiskach testowych i deweloperskich, przy użyciu kontenera Docker z flagą –privileged, można uciec z kontenera Docker i uzyskać dostęp do systemu hosta.

CVE-2025-3495
Krytyczne

Delta Electronics COMMGR w wersjach 1 i 2 wykorzystuje niewystarczająco losowe wartości do generowania identyfikatorów sesji. Atakujący może łatwo przeprowadzić atak brute force na identyfikator sesji i załadować oraz wykonać dowolny kod.

CVE-2025-30215
Krytyczne

NATS-Server, serwer wysokowydajny dla systemu wiadomości NATS.io, ma lukę w zarządzaniu zasobami JetStream w wersjach od 2.2.0 do przed 2.10.27 oraz 2.11.1. Niektóre żądania API JS nie miały odpowiednich kontroli dostępu, co pozwalało użytkownikom z uprawnieniami do zarządzania JS w jednym koncie na wykonywanie działań administracyjnych na zasobach JS w innych kontach.

CVE-2025-30967
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w NotFound WPJobBoard umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy WPJobBoard w nieokreślonym zakresie wersji.

PoprzedniaStrona 267 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS