Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-26927
Krytyczne

Podatność CVE-2025-26927 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w LiquidThemes AI Hub, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AI Hub od n/a do 1.3.7 włącznie.

CVE-2025-32445
Krytyczne

Argo Events to framework automatyzacji workflow oparty na zdarzeniach dla Kubernetes. Użytkownik z uprawnieniami do tworzenia/modyfikowania zasobów EventSource i Sensor może uzyskać uprzywilejowany dostęp do systemu hosta i klastra, nawet bez bezpośrednich uprawnień administracyjnych.

CVE-2025-30206
Krytyczne

Dpanel to system wizualizacji Dockera, który zawiera w swojej domyślnej konfiguracji twardo zakodowany sekret JWT. Ta podatność pozwala atakującym na generowanie ważnych tokenów JWT, co może prowadzić do przejęcia kontroli nad maszyną hosta.

CVE-2025-2567
Krytyczne

Atakujący mógłby modyfikować lub dezaktywować ustawienia, zakłócać monitorowanie paliwa oraz operacje w łańcuchu dostaw, co prowadziłoby do wyłączenia monitorowania ATG. Może to skutkować potencjalnymi zagrożeniami dla bezpieczeństwa w przechowywaniu i transportowaniu paliwa.

CVE-2021-27289
Krytyczne

Wykryto podatność na atak powtórzeniowy w zestawie inteligentnego domu Zigbee produkowanym przez Ksix, gdzie mechanizm anty-replay oparty na polu licznika ramek jest niewłaściwie zaimplementowany. Atakujący w zasięgu bezprzewodowym może ponownie wysłać przechwycone pakiety z wyższym numerem sekwencyjnym, co pozwala na wstrzykiwanie fałszywych poleceń bez autoryzacji.

CVE-2025-32911
KrytyczneEPSS 52%

W bibliotece libsoup odkryto podatność typu use-after-free w funkcji soup_message_headers_get_content_disposition(). Umożliwia ona złośliwemu klientowi HTTP wywołanie uszkodzenia pamięci w serwerze libsoup.

CVE-2025-30985
Krytyczne

Podatność CVE-2025-30985 dotyczy deserializacji niezaufanych danych w systemie GNUCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GNUCommerce od n/a do 1.5.4 włącznie.

CVE-2025-1782
Krytyczne

W interfejsie webowym HylaFAX Enterprise oraz AvantFAX element formularza języka nie jest odpowiednio oczyszczany przed użyciem, co może być wykorzystane do włączenia dowolnego pliku w kodzie PHP.

CVE-2025-32931
Krytyczne

DevDojo Voyager w wersjach od 1.4.0 do 1.8.0, przy użyciu Laravel 8 lub nowszego, umożliwia uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemu operacyjnego za pomocą określonego polecenia php artisan.

CVE-2025-23391
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w SUSE Rancher pozwala na to, aby Ograniczony Administrator zmienił hasło Administratorów i przejął ich konta. Problem dotyczy wersji rancher: od 2.8.0 do przed 2.8.14, od 2.9.0 do przed 2.9.8, od 2.10.0 do przed 2.10.4.

CVE-2025-32607
Krytyczne

Podatność typu deserializacja niezaufanych danych w usłudze WpBookingly od magepeopleteam umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpBookingly od n/a do 1.3.0 włącznie.

CVE-2025-32603
Krytyczne

Podatność CVE-2025-32603 dotyczy wtyczki WP Online Users Stats, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.0.0.

CVE-2025-32579
Krytyczne

Podatność CVE-2025-32579 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Sync Posts firmy SoftClever Limited. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2025-32577
Krytyczne

W podatności CVE-2025-32577 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.

CVE-2025-32569
Krytyczne

Podatność CVE-2025-32569 dotyczy deserializacji niezaufanych danych w RealMag777 TableOn, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji TableOn od n/a do 1.0.4.3 włącznie.

CVE-2025-32568
Krytyczne

Podatność CVE-2025-32568 dotyczy deserializacji niezaufanych danych w wtyczce EmpikPlace dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.3 włącznie.

CVE-2025-32565
Krytyczne

Podatność CVE-2025-32565 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w produkcie Neon Product Designer dla WooCommerce. Problem ten dotyczy wersji od n/a do 2.2.0 włącznie.

CVE-2025-32491
Krytyczne

W podatności CVE-2025-32491 występuje nieprawidłowe przypisanie uprawnień w wtyczce Rankology SEO – On-site SEO, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.2.4 włącznie.

CVE-2025-31599
Krytyczne

W podatności CVE-2025-31599 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w N-Media Bulk Product Sync w wersjach od n/a do 8.6.

CVE-2025-31565
Krytyczne

W podatności CVE-2025-31565 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WPSmartContracts w wersjach od n/a do 2.0.12.

PoprzedniaStrona 268 z 575Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS