Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-27270
Krytyczne

W systemie Residential Address Detection od enituretechnology występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.5.4 włącznie.

CVE-2025-27268
Krytyczne

W podatności CVE-2025-27268 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.18 włącznie.

CVE-2025-26988
Krytyczne

Wtyczka SMS Alert Order Notifications dla WordPressa (wersje do 3.7.8 włącznie) zawiera podatność na wstrzykiwanie SQL. Luka wynika z niewłaściwego neutralizowania specjalnych elementów w zapytaniach SQL, co pozwala atakującemu na wykonanie nieautoryzowanych operacji na bazie danych.

CVE-2025-26970
Krytyczne

Podatność CVE-2025-26970 dotyczy niewłaściwej kontroli generowania kodu w rdzeniu motywu FRESHFACE Ark, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji rdzenia motywu Ark od n/a do poniżej 1.71.0.

CVE-2025-26535
Krytyczne

W podatności CVE-2025-26535 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do podatności na atak typu Blind SQL Injection w bramce płatności CodeSolz Bitcoin / AltCoin dla WooCommerce. Problem dotyczy wersji bramki od n/a do 1.7.6 włącznie.

CVE-2025-25150
Krytyczne

W podatności CVE-2025-25150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce uListing w wersjach od n/a do 2.1.6.

CVE-2025-1671
Krytyczne

Wtyczka Academist Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.1.6. Problem wynika z funkcji academist_membership_check_facebook_user(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

CVE-2025-1638
Krytyczne

Wtyczka Alloggio Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwej walidacji tożsamości użytkownika w funkcjach alloggio_membership_init_rest_api_facebook_login oraz alloggio_membership_init_rest_api_google_login.

CVE-2025-1564
Krytyczne

Wtyczka SetSail Membership dla WordPressa jest podatna na ataki we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwej weryfikacji tożsamości użytkowników przez logowanie społeczne.

CVE-2024-12824
Krytyczne

Motyw Nokri – Job Board dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.6.2. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed aktualizacją danych użytkownika, takich jak hasło.

CVE-2025-27554
Krytyczne

ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.

CVE-2025-23116
Krytyczne

Podatność na obejście uwierzytelniania w aplikacji UniFi Protect z włączonymi urządzeniami Auto-Adopt Bridge może umożliwić złośliwemu aktorowi, który ma dostęp do sąsiedniej sieci kamer UniFi Protect, przejęcie kontroli nad tymi kamerami.

CVE-2025-23115
Krytyczne

Podatność typu Use After Free w kamerach UniFi Protect może umożliwić zdalne wykonanie kodu (RCE) przez złośliwego aktora, który ma dostęp do sieci zarządzającej kamerami UniFi Protect.

CVE-2024-1509
Krytyczne

Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.

CVE-2024-8425
Krytyczne

Wtyczka WooCommerce Ultimate Gift Card dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcjach 'mwb_wgm_preview_mail' oraz 'mwb_wgm_woocommerce_add_cart_item_data' w wersjach do 2.9.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2025-25570
Krytyczne

Vue Vben Admin w wersji 2.10.1 umożliwia nieautoryzowane logowanie do panelu administracyjnego z powodu problemu z twardo zakodowanymi poświadczeniami.

CVE-2024-55160
Krytyczne

W systemie GFast w wersjach od 2 do 3.2 wykryto podatność na wstrzykiwanie SQL w parametrze OrderBy w endpointcie /system/operLog/list. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.

CVE-2024-51139
KrytyczneEPSS 57%

W wielu routerach Vigor wykryto podatność na przepełnienie bufora w parserze CGI podczas obsługi nagłówka "Content-Length" żądań HTTP POST. Umożliwia to zdalnemu atakującemu wykonanie dowolnego kodu na urządzeniu.

CVE-2024-51138
KrytyczneEPSS 59%

W routerach DrayTek Vigor wykryto podatność przepełnienia bufora stosu w funkcji parsowania URL serwera TR069 STUN. Brak odpowiedniego sprawdzania granic parametrów URL umożliwia zdalnemu atakującemu wykonanie dowolnego kodu z podwyższonymi uprawnieniami poprzez wysłanie spreparowanego żądania.

CVE-2024-53944
Krytyczne

W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.

PoprzedniaStrona 279 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS