Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Problem dotyczy funkcji automatycznego uzupełniania haseł, która może wypełniać hasła po nieudanej autoryzacji. Został on rozwiązany poprzez wprowadzenie ulepszonych kontroli. Problem został naprawiony w iOS 18.2, iPadOS 18.2, macOS Sequoia 15.2, visionOS 2.2 oraz watchOS 11.2.
Problem polegał na możliwości wykorzystania systemowego binarnego pliku do identyfikacji konta Apple użytkownika. Został on rozwiązany poprzez usunięcie odpowiednich flag w systemach iOS 18.2, iPadOS 18.2 oraz watchOS 11.2.
Podatność CVE-2024-48841 pozwala na zdalne wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Dotyczy to wersji FLXEON 9.3.4 i starszych.
Podatność CVE-2025-24671 dotyczy deserializacji niezaufanych danych w aplikacji Save as PDF od zespołu Pdfcrowd. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
W podatności CVE-2025-24667 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.17 włącznie.
W podatności CVE-2025-24665 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Unishippers Edition. Problem dotyczy wersji od n/a do 2.4.8 włącznie.
Urządzenia DLINK DIR-825 REVB 2.03 mają podatność na wstrzykiwanie poleceń systemowych w interfejsie CGl apc_client_pin.cgi. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń poprzez parametr 'wps_pin' przekazywany do binarnego pliku apc_client_pin.cgi za pomocą żądania POST.
W podatności CVE-2025-24664 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji LTL Freight Quotes – Worldwide Express Edition w wersjach od n/a do 5.0.20.
W podatności CVE-2025-24612 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Ihor Kit Shipping dla Nova Poshta. Problem ten dotyczy wersji Shipping for Nova Poshta od n/a do 1.19.6 włącznie.
Podatność CVE-2025-24601 dotyczy deserializacji niezaufanych danych w FundPress, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji FundPress od n/a do 2.0.6 włącznie.
Podatność CVE-2025-24650 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Themefic Tourfic, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Tourfic od n/a do 2.15.3 włącznie.
W One Identity Identity Manager w wersjach 9.x przed 9.3 występuje podatność typu insecure direct object reference (IDOR), która umożliwia eskalację uprawnień. Dotyczy to wyłącznie instalacji lokalnych.
Oprogramowanie Beta10 nie zapewnia odpowiedniej kontroli autoryzacji w wielu obszarach aplikacji. Ta luka może umożliwić złośliwemu użytkownikowi, bez uwierzytelnienia, dostęp do prywatnych obszarów oraz obszarów przeznaczonych dla innych ról.
W aplikacji Logitime WebClock w wersjach do 5.43.0 występuje podatność na atak typu SQL Injection w domyślnej konfiguracji. Umożliwia to nieautoryzowanemu użytkownikowi wykonanie dowolnego kodu na serwerze bazy danych.
Zidentyfikowano problem w Fleet Server, gdzie polityki Fleet, które mogą zawierać wrażliwe informacje, były rejestrowane na poziomach logowania INFO i ERROR. Rodzaj wrażliwych informacji w dużej mierze zależy od aktywowanych integracji.
Podatność CVE-2025-23914 dotyczy deserializacji niezaufanych danych w Muzaara Google Ads Report, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Muzaara Google Ads Report od n/a do 3.1 włącznie.
W oprogramowaniu Synnefo Internet Management Software (IMS) w wersji 2023 i wcześniejszych występuje podatność na wstrzykiwanie SQL. Problem ten wynika z niewłaściwej walidacji danych wejściowych w określonym parametrze punktu końcowego API, co pozwala atakującemu manipulować zapytaniami SQL za pomocą spreparowanego wejścia.
Podatność CVE-2025-23953 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w Scriptonite, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy plików użytkowników w wersjach od n/a do 2.4.2.
Podatność CVE-2025-23942 dotyczy wtyczki WP Load Gallery, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych zagrożeń bezpieczeństwa.
Podatność CVE-2025-23932 dotyczy deserializacji niezaufanych danych w Marko-M Quick Count, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Quick Count od n/a do 3.00 włącznie.

