Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W aplikacji mobilnej G-Net GNET APK w wersji 2.6.2 zidentyfikowano problem z twardo zakodowanymi danymi uwierzytelniającymi dla portów 9091 i 9092. Te dane umożliwiają nieautoryzowany dostęp do punktów końcowych API kamery samochodowej.
Na urządzeniach IROAD Dashcam V odkryto problem związany z używaniem niezarejestrowanej domeny publicznej jako wewnętrznej. Domena ta nie jest własnością IROAD, co stwarza ryzyko, że atakujący może ją zarejestrować i przechwycić wrażliwy ruch urządzenia.
Na urządzeniach ROADCAM X3 odkryto problem związany z aplikacją mobilną APK (Viidure), która zawiera zakodowane na stałe dane logowania FTP dla konta użytkownika FTPX. To umożliwia atakującym uzyskanie nieautoryzowanego dostępu i wyciągnięcie wrażliwych nagrań z urządzenia.
Na urządzeniach ROADCAM X3 odkryto problem związany z domyślnymi, jednolitymi danymi uwierzytelniającymi, które nie mogą być modyfikowane przez użytkowników. Ułatwia to atakującym uzyskanie nieautoryzowanego dostępu do wielu urządzeń.
W podatności CVE-2024-8997 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w interfejsie konfiguracyjnym Vestel EVC04. Problem dotyczy wersji interfejsu EVC04 przed V3.187 oraz V4.53.
Nieautoryzowany zdalny atakujący może uzyskać dostęp do API chmurowego z powodu braku uwierzytelnienia dla krytycznej funkcji w dotkniętych urządzeniach. Dostępność nie jest naruszona.
Problem z przechowywaniem danych kart NFC w zamku cyfrowym Dorset DG 201 H5_433WBSK_v2.2_220605 umożliwia atakującym tworzenie sklonowanych kart NFC, co pozwala na ominięcie procesu autoryzacji.
Wykryto bardzo krytyczną podatność w kamerach samochodowych IROAD Dash Cam X5 i Dash Cam X6 do wersji 20250308. Problem dotyczy nieznanej części i prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2025-26875 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.3. Problem ten dotyczy wtyczki, która obsługuje różne adresy wysyłki i fakturowania.
Urządzenie wykorzystuje słaby algorytm haszowania do tworzenia haszy haseł. W związku z tym, atakujący może łatwo obliczyć pasujące hasło, co wpływa na bezpieczeństwo i integralność urządzenia.
Produkt może być wykorzystywany do dystrybucji złośliwego kodu za pomocą sterowników urządzeń SDD z powodu braku weryfikacji pobierania, co prowadzi do wykonania kodu na docelowych systemach.
Wtyczka Civi - Job Board & Freelance Marketplace dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.1.4. Problem wynika z braku walidacji użytkownika przed zmianą hasła, co umożliwia nieautoryzowanym atakującym zmianę hasła dowolnych użytkowników, w tym administratorów, jeśli znają nazwę użytkownika ofiary.
graphql-ruby to implementacja GraphQL w języku Ruby. W wersjach od 1.11.5 do 1.11.8, 1.12.25, 1.13.24, 2.0.32, 2.1.14, 2.2.17 i 2.3.21, załadowanie złośliwej definicji schematu w `GraphQL::Schema.from_introspection` (lub `GraphQL::Schema::Loader.load`) może prowadzić do zdalnego wykonania kodu.
W podatności CVE-2025-1960 występuje problem z inicjalizacją zasobu z niebezpiecznymi domyślnymi ustawieniami. Atakujący może wykonać nieautoryzowane polecenia, jeśli domyślne dane logowania systemu nie zostały zmienione po pierwszym użyciu.
W Koha przed wersją 24.11.02 występuje podatność na SQL Injection w funkcji GetLateOrMissingIssues w pliku C4/Serials.pm. Atakujący może wykorzystać parametry supplierid lub serialid w skrypcie /serials/lateissues-export.pl.
Podatność CVE-2025-28915 dotyczy motywu ThemeEgg ToolKit, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 1.2.9 włącznie.
Wykryto problem w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova, który dotyczy domyślnych poświadczeń konta serwisowego. Może to prowadzić do dostępu SSH, użycia Sudo do uzyskania uprawnień roota oraz ujawnienia wrażliwych danych.
Problem z zapisem poza przydzielonym obszarem pamięci został rozwiązany poprzez poprawione kontrole, które zapobiegają nieautoryzowanym działaniom. Problem ten został naprawiony w kilku wersjach Safari, iOS oraz macOS.
Zidentyfikowano podatność w urządzeniach SINAMICS S200 (wszystkie wersje z numerem seryjnym zaczynającym się od SZVS8, SZVS9, SZVS0 lub SZVSN oraz numerem FS 02). Affected device posiada odblokowany bootloader, co umożliwia atakującym wstrzykiwanie złośliwego kodu lub instalację nieufnego oprogramowania.
Podatność CVE-2025-26936 dotyczy niewłaściwej kontroli generowania kodu w frameworku FRESHFACE Fresh Framework, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Fresh Framework od n/a do 1.70.0 włącznie.

