Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2025-20055
Krytyczne

W serwerach pamięci masowej STEALTHONE D220/D340 firmy Y'S występuje podatność na wstrzykiwanie poleceń systemowych. Atakujący, który ma dostęp do podatnego produktu, może wykonać dowolne polecenie systemowe.

CVE-2025-0070
Krytyczne

SAP NetWeaver Application Server dla ABAP oraz platforma ABAP pozwala uwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do systemu poprzez wykorzystanie niewłaściwych kontroli uwierzytelniania, co prowadzi do eskalacji uprawnień. Udana eksploitacja może prowadzić do poważnych problemów z bezpieczeństwem.

CVE-2024-57811
Krytyczne

W urządzeniach Eaton X303 w wersjach 3.5.16 - 3.5.17 Build 712, atakujący z dostępem do sieci może zalogować się jako root przez SSH, ponieważ hasło root jest zakodowane w oprogramowaniu układowym. Należy zauważyć, że ta podatność występuje w wersjach, które nie są już wspierane przez Eaton.

CVE-2024-46310
KrytyczneEPSS 82%

Podatność w Cfx.re FXServer w wersji v9601 i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom modyfikację i odczyt dowolnych danych użytkownika poprzez odsłonięty punkt końcowy API. Problem wynika z nieprawidłowej kontroli dostępu.

CVE-2024-5743
Krytyczne

Podatność 'Użycie hasła skrótu z niewystarczającym wysiłkiem obliczeniowym' w EveHome Eve Play pozwala atakującemu na wykonanie dowolnego kodu. Problem ten dotyczy wersji Eve Play do 1.1.42.

CVE-2025-22777
Krytyczne

Podatność CVE-2025-22777 dotyczy deserializacji niezaufanych danych w wtyczce GiveWP, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji GiveWP od n/a do 3.19.3 włącznie.

CVE-2025-22152
Krytyczne

Atheos to samodzielnie hostowane, przeglądarkowe IDE w chmurze. W wersjach przed v600 parametry $path i $target nie są odpowiednio walidowane w wielu komponentach, co pozwala atakującemu na odczyt, modyfikację lub wykonanie dowolnych plików na serwerze.

CVE-2024-29970
Krytyczne

Fortanix Enclave OS w wersji 3.36.1941-EM posiada podatność w interfejsie, która prowadzi do uszkodzenia stanu systemu w wyniku wstrzykniętych sygnałów.

CVE-2025-23016
Krytyczne

FastCGI fcgi2 w wersjach od 2.x do 2.4.4 zawiera przepełnienie całkowitej liczby (i wynikowe przepełnienie bufora w stercie) spowodowane przez spreparowane wartości nameLen lub valueLen w danych przesyłanych do gniazda IPC. Problem ten występuje w funkcji ReadParams w pliku fcgiapp.c.

CVE-2023-28354
Krytyczne

W Opsview Monitor Agent 6.8 odkryto podatność, która pozwala nieuwierzytelnionemu zdalnemu atakującemu na wywołanie check_nrpe wobec podatnych celów. Atakujący może wykorzystać znane wtyczki NRPE, które w domyślnej konfiguracji akceptują znaki kontrolne poleceń i przekazują je do interpreterów wiersza poleceń, co umożliwia ucieczkę z wykonania wtyczki NRPE i zdalne wykonanie poleceń na celu jako NT_AUTHORITY\SYSTEM.

CVE-2024-54724
Krytyczne

PHPYun przed wersją 7.0.2 zawiera podatność umożliwiającą zdalne wykonanie kodu poprzez ograniczone zapisywanie plików i dołączanie plików z backdoorem.

CVE-2024-46505
Krytyczne

W wersji 2.4 Infoblox BloxOne odkryto lukę w logice biznesowej spowodowaną podatnościami w grubej aplikacji klienckiej.

CVE-2025-22542
Krytyczne

W podatności CVE-2025-22542 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wirtualnym bocie Ofek Nakar. Problem dotyczy wersji Virtual Bot od n/a do 1.0.0 włącznie.

CVE-2025-22540
Krytyczne

W podatności CVE-2025-22540 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w module subskrypcji e-mail seballero. Problem dotyczy wersji Emailing Subscription od n/a do 1.4.1 włącznie.

CVE-2025-22504
Krytyczne

Podatność CVE-2025-22504 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzach internetowych 4ECPS, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji 4ECPS Web Forms od n/a do 0.2.18 włącznie.

CVE-2024-11642
Krytyczne

Wtyczka Post Grid Master – Custom Post Types, Taxonomies & Ajax Filter Everything z WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 3.4.12 włącznie, poprzez funkcję 'locate_template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-12802
Krytyczne

W SonicWALL SSL-VPN występuje możliwość obejścia wieloskładnikowego uwierzytelniania (MFA) w określonych przypadkach, związana z oddzielnym traktowaniem nazw kont UPN (User Principal Name) i SAM (Security Account Manager) przy integracji z Microsoft Active Directory. To pozwala na niezależną konfigurację MFA dla każdej metody logowania, co może umożliwić atakującym obejście MFA poprzez wykorzystanie alternatywnej nazwy konta.

CVE-2024-43663
Krytyczne

Wiele podatności typu buffer overflow występuje w kilku binariach CGI stacji ładowania. Problem ten dotyczy oprogramowania Iocharger dla ładowarek modelu AC przed wersją 24120701.

CVE-2024-43661
Krytyczne

Biblioteka <redacted>.so, używana przez <redacted>, jest podatna na przepełnienie bufora w kodzie obsługującym usuwanie certyfikatów. Przepełnienie bufora można wywołać, podając długą ścieżkę pliku do akcji <redacted> w binarnym pliku <redacted>.exe lub w skrypcie CGI <redacted>.sh.

CVE-2024-40765
Krytyczne

W SonicOS występuje podatność na przepełnienie bufora opartego na liczbach całkowitych w module IPSec. Zdalny atakujący, w określonych warunkach, może spowodować awarię usługi (DoS) oraz potencjalnie wykonać dowolny kod, wysyłając specjalnie przygotowany ładunek IKEv2.

PoprzedniaStrona 288 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS