Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W analizatorze protokołu Vinci występuje podatność na wstrzykiwanie poleceń systemowych, która może umożliwić atakującemu eskalację uprawnień oraz wykonanie kodu na zaatakowanym systemie.
Podatność typu Relative Path Traversal w agencie polityk Java PingAM firmy Ping Identity umożliwia wstrzykiwanie parametrów. Problem ten dotyczy wersji PingAM Java Policy Agent od 5.10.3 do 2023.11.1 oraz do 2024.9.
Podatność SQL Injection w portalu studenckim Uniclare w wersji 2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą funkcji 'Zapomniałeś hasła'.
Wtyczka ravpage dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 2.31 włącznie, poprzez deserializację niezaufanych danych z parametru 'paramsv2'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
Aplikacja deserializuje nieufne dane bez wystarczającego weryfikowania, czy wynikowe dane będą poprawne. Wersje Hitachi Vantara Pentaho Business Analytics Server przed 10.2.0.0 i 9.3.0.9, w tym 8.3.x, deserializują nieufne dane JSON bez ograniczania parsera do zatwierdzonych klas i metod.
Silnik IQ firmy Extreme Networks w wersjach przed 10.6r1a oraz od 10.6r4 do 10.6r5 zawiera podatność typu buffer overflow. Problem ten występuje w usłudze ah_webui, która domyślnie nasłuchuje na porcie TCP 3009.
Urządzenia Lexmark MX6500 z oprogramowaniem LW75.JD.P296 i wcześniejszym zawierają podatność polegającą na nieprawidłowej kontroli dostępu w ustawieniach kontroli dostępu. Może to pozwolić nieautoryzowanym użytkownikom na ominięcie zabezpieczeń.
Niewystarczające śledzenie i zwalnianie przydzielonej pamięci w libx264 git master umożliwia atakującym wykonanie dowolnego kodu poprzez stworzenie spreparowanego pliku AAC.
Podatność CVE-2025-22654 w kodeshpa Simplified umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Simplified od n/a do 1.0.6.
Podatność związana z nieprawidłowym przypisaniem uprawnień w K Elements od SeventhQueen umożliwia eskalację uprawnień. Problem ten dotyczy wersji K Elements od n/a do poniżej 5.4.0.
CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.
W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.
W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.
Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.
W acmailer CGI w wersji 4.0.3 i wcześniejszych oraz w acmailer DB w wersji 1.1.5 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. W przypadku wykorzystania tej podatności, atakujący może wykonać dowolne polecenie systemowe.
W podatności CVE-2025-22290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – FreightQuote Edition w wersjach od n/a do 2.3.11.
W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.
Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.
Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.

