Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność CVE-2025-26927 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w LiquidThemes AI Hub, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AI Hub od n/a do 1.3.7 włącznie.
Argo Events to framework automatyzacji workflow oparty na zdarzeniach dla Kubernetes. Użytkownik z uprawnieniami do tworzenia/modyfikowania zasobów EventSource i Sensor może uzyskać uprzywilejowany dostęp do systemu hosta i klastra, nawet bez bezpośrednich uprawnień administracyjnych.
Dpanel to system wizualizacji Dockera, który zawiera w swojej domyślnej konfiguracji twardo zakodowany sekret JWT. Ta podatność pozwala atakującym na generowanie ważnych tokenów JWT, co może prowadzić do przejęcia kontroli nad maszyną hosta.
Atakujący mógłby modyfikować lub dezaktywować ustawienia, zakłócać monitorowanie paliwa oraz operacje w łańcuchu dostaw, co prowadziłoby do wyłączenia monitorowania ATG. Może to skutkować potencjalnymi zagrożeniami dla bezpieczeństwa w przechowywaniu i transportowaniu paliwa.
Wykryto podatność na atak powtórzeniowy w zestawie inteligentnego domu Zigbee produkowanym przez Ksix, gdzie mechanizm anty-replay oparty na polu licznika ramek jest niewłaściwie zaimplementowany. Atakujący w zasięgu bezprzewodowym może ponownie wysłać przechwycone pakiety z wyższym numerem sekwencyjnym, co pozwala na wstrzykiwanie fałszywych poleceń bez autoryzacji.
W bibliotece libsoup odkryto podatność typu use-after-free w funkcji soup_message_headers_get_content_disposition(). Umożliwia ona złośliwemu klientowi HTTP wywołanie uszkodzenia pamięci w serwerze libsoup.
Podatność CVE-2025-30985 dotyczy deserializacji niezaufanych danych w systemie GNUCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GNUCommerce od n/a do 1.5.4 włącznie.
W interfejsie webowym HylaFAX Enterprise oraz AvantFAX element formularza języka nie jest odpowiednio oczyszczany przed użyciem, co może być wykorzystane do włączenia dowolnego pliku w kodzie PHP.
DevDojo Voyager w wersjach od 1.4.0 do 1.8.0, przy użyciu Laravel 8 lub nowszego, umożliwia uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemu operacyjnego za pomocą określonego polecenia php artisan.
Podatność związana z nieprawidłowym przypisaniem uprawnień w SUSE Rancher pozwala na to, aby Ograniczony Administrator zmienił hasło Administratorów i przejął ich konta. Problem dotyczy wersji rancher: od 2.8.0 do przed 2.8.14, od 2.9.0 do przed 2.9.8, od 2.10.0 do przed 2.10.4.
Podatność typu deserializacja niezaufanych danych w usłudze WpBookingly od magepeopleteam umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpBookingly od n/a do 1.3.0 włącznie.
Podatność CVE-2025-32603 dotyczy wtyczki WP Online Users Stats, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.0.0.
Podatność CVE-2025-32579 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Sync Posts firmy SoftClever Limited. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
W podatności CVE-2025-32577 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.
Podatność CVE-2025-32569 dotyczy deserializacji niezaufanych danych w RealMag777 TableOn, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji TableOn od n/a do 1.0.4.3 włącznie.
Podatność CVE-2025-32568 dotyczy deserializacji niezaufanych danych w wtyczce EmpikPlace dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.3 włącznie.
Podatność CVE-2025-32565 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w produkcie Neon Product Designer dla WooCommerce. Problem ten dotyczy wersji od n/a do 2.2.0 włącznie.
W podatności CVE-2025-32491 występuje nieprawidłowe przypisanie uprawnień w wtyczce Rankology SEO – On-site SEO, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.2.4 włącznie.
W podatności CVE-2025-31599 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w N-Media Bulk Product Sync w wersjach od n/a do 8.6.
W podatności CVE-2025-31565 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WPSmartContracts w wersjach od n/a do 2.0.12.

