Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.
W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.
Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.
W acmailer CGI w wersji 4.0.3 i wcześniejszych oraz w acmailer DB w wersji 1.1.5 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. W przypadku wykorzystania tej podatności, atakujący może wykonać dowolne polecenie systemowe.
W podatności CVE-2025-22290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – FreightQuote Edition w wersjach od n/a do 2.3.11.
W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.
Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.
Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.
Standardowy użytkownik wykorzystuje funkcję uruchamiania jako, aby uruchomić aplikacje MEAC z uprawnieniami administratora. W celu zapewnienia, że system może samodzielnie się uruchomić, dane logowania administratora zostały zapisane, co umożliwia użytkownikowi EPC2 wykonywanie dowolnych poleceń z uprawnieniami administratora.
W podatności CVE-2024-13152 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection w panelu monitorowania maszyn Mobuy Online. Problem dotyczy wersji przed 2.0.
W aplikacji mobilnej (com.transsion.carlcare) występuje luka logiczna, która może prowadzić do przejęcia konta użytkownika.
W podatności CVE-2025-22630 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co prowadzi do możliwości wstrzyknięcia poleceń systemowych w widgecie Widget Options. Problem ten dotyczy wersji Widget Options od n/a do 4.1.0 włącznie.
Podatność CVE-2025-1127 pozwala atakującemu na wykonanie dowolnego kodu jako użytkownik bez uprawnień oraz na modyfikację zawartości dowolnych danych w systemie plików.
Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.5. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_parse_request'.
Crayfish to zbiór mikroserwisów Islandora 8, w tym Homarus, który udostępnia FFmpeg jako mikroserwis. Przed wersją 4.1.0 Crayfish, w niektórych konfiguracjach, mogło dojść do zdalnego wykonania kodu w instalacjach Homarus dostępnych przez sieć.
W Stroom, platformie do przetwarzania, przechowywania i analizy danych, występuje podatność, która pozwala na obejście uwierzytelniania w systemie Stroom, gdy jest skonfigurowany z ALB i dostępny nie przez ALB. Podatność ta może również umożliwić atak typu server-side request forgery, co może prowadzić do wykonania kodu lub eskalacji uprawnień przy użyciu adresu URL metadanych AWS.
Wtyczka WP Job Board Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.3.16. Problem wynika z możliwości podania przez użytkownika pola 'rola' podczas rejestracji, co umożliwia nieautoryzowanym atakującym rejestrację jako administrator na podatnych stronach.
W podatności CVE-2025-25530 występuje przepełnienie bufora w bramie Digital China DCBI-Netlog-LAB w wersji 1.0, spowodowane brakiem weryfikacji długości, co dotyczy zapisywania informacji o konfiguracji kontroli rodzicielskiej. Atakujący, którzy pomyślnie wykorzystają tę podatność, mogą spowodować awarię zdalnego urządzenia docelowego lub wykonać dowolne polecenia.

