CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Występuje podatność na przepełnienie bufora w poleceniu DeletePortMapping() UPnP w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS), wpływając na funkcję UPnP urządzenia.
Występuje podatność na przepełnienie bufora w poleceniu UPnP AddPortMapping() w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS) wpływającego na funkcję UPnP urządzenia.
Wtyczka Auto Image Attributes From Filename With Bulk Updater (Add Alt Text, Image Title For Image SEO) dla WordPressa jest podatna na przechowywane Cross-Site Scripting w metadanych załączników we wszystkich wersjach do 4.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /manage_payment.php. Manipulacja argumentem ID prowadzi do wstrzykiwania SQL, co może być wykorzystane zdalnie.
Zidentyfikowano słabość w FoundationAgents MetaGPT do wersji 0.8.2, która dotyczy funkcji Message.check_instruct_content w pliku metagpt/schema.py. Manipulacja argumentem mapping może prowadzić do deserializacji, a atak jest ograniczony do lokalnego wykonania.
W komponencie GeniexWebView aplikacji Transsion AI Assistant Lifestyle występuje podatność typu Cross-Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w kontekście WebView poprzez spreparowany parametr URL web_action_data.
Wtyczka Simple Custom Login Page dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting poprzez pola ustawień kolorów w wersjach do 1.0.3 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych, co pozwala na wstrzykiwanie dowolnych reguł CSS na stronę logowania.
W systemie e-commerce Pizzafy w wersji 1.0 odkryto lukę, która dotyczy nieznanej funkcji w pliku /index.php. Manipulacja argumentem 'page' może prowadzić do włączenia plików, co stwarza ryzyko zdalnego ataku.
W systemie e-commerce Pizzafy 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /admin/index.php. Manipulacja argumentem 'page' prowadzi do możliwości włączenia plików. Atak można przeprowadzić zdalnie.
Zidentyfikowano słabość w elunez eladmin do wersji 2.7, która dotyczy nieznanego kodu w pliku App.java modułu wdrażania aplikacji. Manipulacja argumentem uploadPath prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.
Wykryto lukę bezpieczeństwa w NousResearch hermes-agent do wersji 2026.4.23, która dotyczy funkcji _sync_anthropic_entry_from_credentials_file w pliku agent/credential_pool.py. Manipulacja tą funkcją prowadzi do niewłaściwej autoryzacji.
Wtyczka Slider Revolution dla WordPressa w wersjach 6.0.0-6.7.55 oraz 7.0.0-7.0.14 jest podatna na nieautoryzowaną modyfikację danych. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika do wykonania danej akcji.
Wtyczka Slider Revolution dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach 7.0.0 - 7.0.14, poprzez akcję AJAX 'slider.get.full'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej, wydobycie wrażliwych danych, w tym surowych poświadczeń API mediów społecznościowych.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 znaleziono lukę. Problem dotyczy nieznanej funkcji w pliku /manage_fee.php, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem ID.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność. Nieznana funkcja w pliku index.php pozwala na manipulację argumentem page, co prowadzi do ataku typu cross-site scripting (XSS).
eLabFTW to otwarte oprogramowanie do prowadzenia elektronicznych dzienników laboratoryjnych. Przed wersją 5.4.2, uwierzytelniony użytkownik wykonujący wyszukiwanie numeryczne mógł otrzymać wyniki zawierające zasoby, do których nie miał uprawnień. Ujawnione informacje są ograniczone do tytułów zasobów.
Kiteworks to sieć prywatnych danych (PDN). Przed wersją 9.3.0 występuje podatność typu Insecure Direct Object Reference (IDOR), która pozwala uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.
Kiteworks, będący prywatną siecią danych, zawierał podatność typu Insecure Direct Object Reference (IDOR) przed wersją 9.3.0. Umożliwia ona uwierzytelnionemu użytkownikowi modyfikację uprawnień do zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.
Kiteworks, będący prywatną siecią danych, przed wersją 9.3.0 miał podatność typu XSS, która pozwalała uwierzytelnionemu atakującemu na wykonanie dowolnego kodu JavaScript w sesjach innych użytkowników. Problem dotyczy formularzy danych w Kiteworks.
Kiteworks to sieć prywatnych danych (PDN). Przed wersją 9.3.0 występowała podatność typu Insecure Direct Object Reference (IDOR), która pozwalała uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.

