Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-1265
Krytyczne

W analizatorze protokołu Vinci występuje podatność na wstrzykiwanie poleceń systemowych, która może umożliwić atakującemu eskalację uprawnień oraz wykonanie kodu na zaatakowanym systemie.

CVE-2025-20059
Krytyczne

Podatność typu Relative Path Traversal w agencie polityk Java PingAM firmy Ping Identity umożliwia wstrzykiwanie parametrów. Problem ten dotyczy wersji PingAM Java Policy Agent od 5.10.3 do 2023.11.1 oraz do 2024.9.

CVE-2024-57401
Krytyczne

Podatność SQL Injection w portalu studenckim Uniclare w wersji 2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą funkcji 'Zapomniałeś hasła'.

CVE-2024-13789
Krytyczne

Wtyczka ravpage dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 2.31 włącznie, poprzez deserializację niezaufanych danych z parametru 'paramsv2'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2024-37361
Krytyczne

Aplikacja deserializuje nieufne dane bez wystarczającego weryfikowania, czy wynikowe dane będą poprawne. Wersje Hitachi Vantara Pentaho Business Analytics Server przed 10.2.0.0 i 9.3.0.9, w tym 8.3.x, deserializują nieufne dane JSON bez ograniczania parsera do zatwierdzonych klas i metod.

CVE-2023-46271
Krytyczne

Silnik IQ firmy Extreme Networks w wersjach przed 10.6r1a oraz od 10.6r4 do 10.6r5 zawiera podatność typu buffer overflow. Problem ten występuje w usłudze ah_webui, która domyślnie nasłuchuje na porcie TCP 3009.

CVE-2020-35546
Krytyczne

Urządzenia Lexmark MX6500 z oprogramowaniem LW75.JD.P296 i wcześniejszym zawierają podatność polegającą na nieprawidłowej kontroli dostępu w ustawieniach kontroli dostępu. Może to pozwolić nieautoryzowanym użytkownikom na ominięcie zabezpieczeń.

CVE-2025-25467
Krytyczne

Niewystarczające śledzenie i zwalnianie przydzielonej pamięci w libx264 git master umożliwia atakującym wykonanie dowolnego kodu poprzez stworzenie spreparowanego pliku AAC.

CVE-2025-22654
Krytyczne

Podatność CVE-2025-22654 w kodeshpa Simplified umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Simplified od n/a do 1.0.6.

CVE-2024-56000
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w K Elements od SeventhQueen umożliwia eskalację uprawnień. Problem ten dotyczy wersji K Elements od n/a do poniżej 5.4.0.

CVE-2025-24895
Krytyczne

CIE.AspNetCore.Authentication to zdalny system uwierzytelniania dla CIE 3.0, oparty na standardzie SAML2. W dotkniętych wersjach nie ma gwarancji, że pierwszy podpis odnosi się do obiektu głównego, co pozwala atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2025-24894
Krytyczne

SPID.AspNetCore.Authentication to zdalny system uwierzytelniania dla SPID oparty na standardzie SAML2. Problematyczna logika walidacji podpisu może pozwolić atakującemu na wstrzyknięcie elementu podpisanego jako pierwszy, co skutkuje brakiem weryfikacji pozostałych podpisów.

CVE-2024-55460
Krytyczne

W systemie BoardRoom Limited Dividend Distribution Tax Election Version v2.0 występuje podatność na wstrzykiwanie SQL oparta na czasie w formularzu logowania, która pozwala atakującym na wykonanie dowolnego kodu poprzez odpowiednio przygotowane dane wejściowe.

CVE-2024-39327
Krytyczne

W podatności CVE-2024-39327 w Atos Eviden IDRA przed wersją 2.6.1 występuje nieprawidłowa kontrola dostępu, która może umożliwić nielegalne uzyskanie podpisu CA.

CVE-2024-13725
Krytyczne

Wtyczka Keap Official Opt-in Forms dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.0.1 włącznie, poprzez parametr service. Umożliwia to nieautoryzowanym atakującym dołączenie plików PHP na serwerze, co pozwala na wykonanie dowolnego kodu PHP w tych plikach.

CVE-2021-46686
Krytyczne

W acmailer CGI w wersji 4.0.3 i wcześniejszych oraz w acmailer DB w wersji 1.1.5 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na wstrzyknięcie poleceń systemowych. W przypadku wykorzystania tej podatności, atakujący może wykonać dowolne polecenie systemowe.

CVE-2025-22290
Krytyczne

W podatności CVE-2025-22290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – FreightQuote Edition w wersjach od n/a do 2.3.11.

CVE-2024-57971
Krytyczne

W pliku DataSourceResource.java w interfejsie API SpagoBI w serwerze Knowage przed wersją 8.1.30 nie jest zapewnione, że ciąg 'java:comp/env/jdbc/' występuje na początku nazwy JNDI. Może to prowadzić do nieautoryzowanego dostępu do zasobów danych.

CVE-2025-1302
Krytyczne

Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.

CVE-2024-56973
Krytyczne

Podatność na niebezpieczne uprawnienia w Alvaria, Inc Unified IP Unified Director przed wersją 7.2SP2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry source i filename w komponencie ProcessUploadFromURL.jsp.

PoprzedniaStrona 281 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS