CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Kargo zarządza i automatyzuje promocję artefaktów oprogramowania. W wersjach od 1.7.0 do przed v1.7.8, v1.8.11 i v1.9.3, punkty końcowe tworzenia zasobów wsadowych w API gRPC oraz REST Kargo akceptują wielodokumentowe ładunki YAML, co może prowadzić do wstrzykiwania dowolnych zasobów do istniejącego projektu.
In the fast-xml-parser library from version 4.1.3 to before 5.3.5, a dot (.) in a DOCTYPE entity name is treated as a regex wildcard during entity replacement, allowing an attacker to shadow built-in XML entities (<, >, &, ", ') with arbitrary values. This bypasses entity encoding and leads to XSS when parsed output is rendered.
PROLiNK PRC2402M w wersjach przed 2021-06-13 umożliwia wstrzyknięcie poleceń systemowych poprzez metaznaki powłoki w parametrze ip (dla satellite_status) w pliku live_api.cgi?page=satellite_list.
Fiverr Clone Script w wersji 1.2.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL w parametrze 'page'. Atakujący mogą dostarczyć złośliwą składnię SQL, aby uzyskać dostęp do wrażliwych informacji w bazie danych lub zmodyfikować jej zawartość.
W wersji 2.2.0.4 Owl opds występuje podatność na wstrzykiwanie poleceń z powodu niewłaściwego neutralizowania specjalnych elementów w komendach. Atakujący może wykorzystać spreparowane żądanie sieciowe do wykonania nieautoryzowanych poleceń.
W aplikacji Monica w wersji 4.1.2 występuje podatność na zatrucie nagłówka Host z powodu niewłaściwego przetwarzania nagłówka HTTP Host w pliku app/Providers/AppServiceProvider.php. Domyślna konfiguracja, w której 'app.force_url' nie jest ustawione, umożliwia atakującym manipulację linkami do resetowania hasła.
An issue in edu Business Solutions Print Shop Pro WebDesk v.18.34 (fixed in 19.76) allows a remote attacker to escalate privileges via the AccessID parameter.
W oprogramowaniu Global Facilities Management firmy Key Systems Inc w wersji 20230721a występuje problem, który pozwala zdalnemu atakującemu na eskalację uprawnień poprzez komponent PIN w funkcjonalności logowania.
W wersji 2.2.0.4 Owl opds występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co umożliwia atak typu Command Injection poprzez odpowiednio skonstruowane żądanie sieciowe.
Interfejs zarządzania urządzeniem pozwala na ustawienie pustych wartości dla nazwy użytkownika i hasła administratora. Po zastosowaniu tych ustawień, urządzenie umożliwia autoryzację z pustymi danymi uwierzytelniającymi zarówno w interfejsie webowym, jak i usłudze Telnet.
Podatność CVE-2025-70833 w Smanga 3.2.7 pozwala nieautoryzowanemu atakującemu na zresetowanie hasła dowolnego użytkownika, w tym administratora, poprzez manipulację parametrami POST. Problem wynika z niewłaściwej walidacji uprawnień w pliku check-power.php.
Wtyczka Shahjada Download Manager Addons dla Elementor zawiera podatność na SQL Injection, która umożliwia przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji wtyczki od n/a do 1.3.0.
Podatność CVE-2026-22384 dotyczy deserializacji niezaufanych danych w wtyczce Applay - Shortcodes, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.
W aplikacji Smanga w wersji 3.2.7 odkryto podatność na zdalne wykonanie kodu (RCE) w interfejsie /php/path/rescan.php. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane przez użytkownika w parametrze mediaId, co pozwala na wstrzyknięcie dowolnych poleceń systemowych.
Podatność CVE-2025-69405 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Lorem Ipsum | Books & Media Store, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.2.11 włącznie.
Podatność CVE-2025-69404 dotyczy deserializacji niezaufanych danych w ThemeREX Extreme Store, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Extreme Store od n/a do 1.5.10 włącznie.
Podatność CVE-2025-69403 dotyczy Bravis Addons, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 1.3.0 włącznie.
Podatność CVE-2025-69382 dotyczy deserializacji niezaufanych danych w motywach Themesflat Elementor, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.0.1 włącznie.
Podatność na deserializację niezaufanych danych w motywie SevenHills od AncoraThemes umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SevenHills od n/a do 1.6.2 włącznie.
Podatność CVE-2025-69371 dotyczy deserializacji niezaufanych danych w wtyczce KindlyCare od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji KindlyCare od n/a do 1.6.1 włącznie.

