Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-30528
Krytyczne

Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Awesome Logos umożliwia wykonanie ataku SQL Injection. Problem dotyczy wersji Awesome Logos od n/a do 1.2 włącznie.

CVE-2025-29922
Krytyczne

Kcp to kontroler podobny do Kubernetes, który obsługuje różne formy i przypadki użycia. Przed wersją 0.26.3 istniała podatność, która pozwalała na tworzenie lub usuwanie obiektów za pomocą APIExport VirtualWorkspace w dowolnej przestrzeni roboczej dla istniejących zasobów, co powinno być dozwolone tylko po przyznaniu dostępu przez właściciela przestrzeni roboczej.

CVE-2025-2311
Krytyczne

W podatności CVE-2025-2311 w oprogramowaniu SecHard przed wersją 3.3.0.20220411 występuje nieprawidłowe użycie uprzywilejowanych interfejsów API, co prowadzi do możliwości ominięcia uwierzytelnienia, manipulacji interfejsem oraz nadużycia uwierzytelnienia. Dodatkowo, dane wrażliwe są przesyłane w postaci niezaszyfrowanej, co zwiększa ryzyko wycieku informacji.

CVE-2024-9701
Krytyczne

Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.

CVE-2024-9070
Krytyczne

W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.

CVE-2024-8502
Krytyczne

Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.

CVE-2024-7957
Krytyczne

W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.

CVE-2024-5752
Krytyczne

W stitionai/devika występuje podatność na traversowanie ścieżek, szczególnie w funkcjonalności tworzenia projektów. W dotkniętej wersji beacf6edaa205a5a5370525407a6db45137873b3, nazwa projektu nie jest walidowana, co pozwala atakującemu na stworzenie projektu z odpowiednio skonstruowaną nazwą, która przemieszcza się po katalogach.

CVE-2024-12044
Krytyczne

W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.

CVE-2024-12029
Krytyczne

W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.

CVE-2024-11042
Krytyczne

W wersji v5.0.2 invoke-ai/invokeai, interfejs API webowy `POST /api/v1/images/delete` jest podatny na usuwanie dowolnych plików. Ta podatność pozwala nieautoryzowanym atakującym na usunięcie dowolnych plików na serwerze, w tym krytycznych lub wrażliwych plików systemowych.

CVE-2024-47552
Krytyczne

Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.2.0. Problem ten jest ściśle związany z trybem klastra Raft, który jest opcjonalną i nie domyślną funkcją.

CVE-2025-2505
Krytyczne

Wtyczka Age Gate dla WordPressa jest podatna na lokalne włączenie plików PHP we wszystkich wersjach do i włącznie z 3.5.3 za pomocą parametru 'lang'. Umożliwia to nieautoryzowanym atakującym włączenie i wykonanie dowolnych plików PHP na serwerze.

CVE-2024-12016
Krytyczne

Podatność CVE-2024-12016 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie CM News w wersjach do 6.0.

CVE-2024-57061
Krytyczne

Problem w wersjach Termius od 9.9.0 do 9.16.0 umożliwia atakującemu znajdującemu się w bliskiej odległości wykonanie dowolnego kodu poprzez niebezpieczną konfigurację Electron Fuses.

CVE-2025-2512
Krytyczne

Wtyczka File Away dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji upload() we wszystkich wersjach do 3.9.9.0.1. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2024-13442
Krytyczne

Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed automatycznym logowaniem po rezerwacji oraz aktualizacją szczegółów profilu.

CVE-2024-13790
Krytyczne

Motyw MinimogWP dla WordPressa jest podatny na lokalne włączenie plików we wszystkich wersjach do 3.7.0 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-13410
Krytyczne

Wtyczki CozyStay i TinySalt dla WordPressa są podatne na wstrzyknięcie obiektu PHP we wszystkich wersjach do i włącznie 1.7.0 oraz 3.9.0, poprzez deserializację niezaufanego wejścia w funkcji 'ajax_handler'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2024-12922
Krytyczne

Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.

PoprzedniaStrona 276 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS