CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Nieautoryzowany atakujący może wstrzykiwać polecenia systemu operacyjnego podczas wywoływania punktu końcowego API serwera w NesterSoft WorkTime. Parametr 'guid' w wywołaniu API do generowania i pobierania klienta WorkTime z serwera WorkTime jest podatny, co pozwala na wykonanie dowolnych poleceń na serwerze z najwyższymi uprawnieniami.
CVE-2025-13590 allows a malicious actor with administrative privileges to upload arbitrary files to a user-controlled location via a system REST API. Successful uploads may lead to remote code execution.
Podatność CVE-2026-23549 dotyczy deserializacji niezaufanych danych w wtyczce WpEvently dla systemu WordPress, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WpEvently od n/a do 5.1.1.
Podatność na deserializację niezaufanych danych w ThemeGoods Grand Restaurant umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Grand Restaurant od n/a do 7.0.10 włącznie.
Gogs to otwartoźródłowa usługa Git, która w wersjach 0.13.4 i poniżej domyślnie udostępnia nieautoryzowane punkty przesyłania plików. Gdy globalne ustawienie RequireSigninView jest wyłączone, każdy zdalny użytkownik może przesyłać dowolne pliki na serwer.
Wtyczka s2Member dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 260127. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.
Wtyczka Slider Future dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'slider_future_handle_image_upload' we wszystkich wersjach do i włącznie z 1.0.5. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka Prodigy Commerce dla WordPressa jest podatna na atak Local File Inclusion we wszystkich wersjach do 3.3.0 włącznie, poprzez parametr 'parameters[template_name]'. Umożliwia to nieautoryzowanym atakującym dołączanie i odczytywanie dowolnych plików lub wykonywanie dowolnych plików na serwerze.
Wtyczka Buyent Classified dla WordPressa (dołączona do motywu Buyent) jest podatna na eskalację uprawnień poprzez rejestrację użytkowników we wszystkich wersjach do 1.0.7 włącznie. Problem wynika z braku walidacji lub ograniczeń dotyczących ról użytkowników podczas rejestracji przez punkt końcowy REST API.
Wtyczka Lizza LMS Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z funkcji 'lizza_lms_pro_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.
Wtyczka Clasifico Listing dla WordPressa jest podatna na eskalację uprawnień w wersjach do 2.0 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, podając parametr 'listing_user_role'.
Wykryto podatność w SECCN Dingcheng G10 w wersji 3.1.0.181203, która dotyczy funkcji qq w pliku /cgi-bin/session_login.cgi. Manipulacja argumentem User prowadzi do wstrzyknięcia poleceń systemowych.
W aplikacji InvoicePlane w wersji 1.7.0 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) wynikająca z połączonego ataku Local File Inclusion (LFI) i Log Poisoning. Uwierzytelniony administrator może wykonać dowolne polecenia systemowe na serwerze, manipulując ustawieniem `public_invoice_template`, aby dołączyć zainfekowane pliki dziennika zawierające kod PHP.
MajorDoMo (znany również jako Major Domestic Module) jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez kompromitację łańcucha dostaw za pomocą złośliwego URL aktualizacji. Moduł saverestore udostępnia swoją metodę admin() przez punkt końcowy /objects/?module=saverestore bez uwierzytelnienia, co umożliwia atakującemu przeprowadzenie ataku.
MajorDoMo (znany również jako Major Domestic Module) jest podatny na nieautoryzowaną iniekcję poleceń systemowych poprzez rc/index.php. Zmienna $param z wejścia użytkownika jest interpolowana w ciągu polecenia bez sanitizacji, co pozwala na wykonanie złośliwego kodu.
MajorDoMo (znany również jako Major Domestic Module) umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników za pomocą funkcji konsoli PHP w panelu administracyjnym. Błąd związany z kolejnością dołączania w pliku modules/panel.class.php pozwala na kontynuację wykonania po wywołaniu redirect(), co umożliwia nieautoryzowanym żądaniom dotarcie do obsługi ajax w inc_panel_ajax.php.
ChaosPro 2.0 zawiera podatność na przepełnienie bufora w obsłudze ścieżki pliku konfiguracyjnego, co pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie Strukturalnego Obsługiwacza Wyjątków. Atakujący mogą stworzyć złośliwy plik konfiguracyjny z odpowiednio skonstruowanym ładunkiem, aby nadpisać pamięć i uzyskać zdalne wykonanie kodu na podatnych systemach Windows XP.
MailCarrier w wersji 2.51 zawiera podatność na przepełnienie bufora w komendzie POP3 USER, co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać odpowiednio przygotowany, zbyt duży bufor do usługi POP3, co prowadzi do nadpisania pamięci i potencjalnego uzyskania zdalnego dostępu do systemu.
WMV to AVI MPEG DVD WMV Convertor w wersji 4.6.1217 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu poprzez nadpisanie pól nazwy licencji i kodu licencji. Atakujący mogą stworzyć złośliwy ładunek o wielkości 6000 bajtów, aby uruchomić bind shell na porcie 4444.
Klient Ayukov NFTP w wersji 1.71 zawiera podatność typu buffer overflow w obsłudze komendy SYST, która pozwala zdalnym atakującym na wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowaną komendę SYST z nadmiernym ładunkiem, co prowadzi do przepełnienia bufora i uruchomienia bind shell na porcie 5150.

