CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.
WordPress Popup Builder version 3.49 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter.
WordPress Soliloquy Lite version 2.5.6 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by inserting script tags in the post title field.
WordPress Theme Zoner Real Estate version 4.1.1 contains a persistent cross-site scripting vulnerability that allows authenticated agents to inject malicious scripts through the Address input field when creating properties.
Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.
GigToDo version 1.3 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field.
Live Chat Unlimited version 2.8.3 contains a stored cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious scripts through the chat input field. Attackers can submit payloads containing script tags and event handlers that execute in the admin area.
Wtyczka Contact Form by WD w wersji 1.13.1 zawiera podatność na atak typu cross-site request forgery (CSRF) połączoną z lokalnym dołączaniem plików. Umożliwia to nieautoryzowanym atakującym dołączanie dowolnych plików poprzez wykorzystanie niesanitizowanych parametrów akcji.
Zuz Music 2.1 contains a persistent cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious JavaScript by submitting crafted contact form data. Attackers can inject script code through the name, subject, and message parameters in POST requests to /gmusic/zuzconsole/___contact.
Wykryto podatność w keystonejs do wersji 20260319, która dotyczy nieznanego kodu w pliku output-field.ts w komponentach GraphQL API Endpoint. Manipulacja tą podatnością prowadzi do nadmiernego zużycia zasobów.
HCL iControl jest podatny na lukę związaną z słabą walidacją wejścia. Problem ten wynika z nieprawidłowej implementacji taktyki bezpieczeństwa architektonicznego, gdzie otrzymane dane wejściowe nie są poprawnie weryfikowane pod kątem oczekiwanego typu.
Podatność CVE-2026-49077 w wtyczce WP eMember umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych systemowych. Dotyczy to wersji od n/a do 10.2.2.
Podatność typu out-of-bounds write w bibliotece rlottie od Samsunga umożliwia przepełnienie buforów. Problem ten dotyczy wersji przed dcfde72eae1b0464dc0dd760aec00ada6a148635.
Fixed AES-128-CBC keys inside the AcerConnect OTA application allow attackers to forge authorization credentials for arbitrary IMEI numbers. This enables unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.
The web administration panel is accessible on the public IPv6 address on port [::]:8080 without default firewall limits, allowing internal API endpoints to be reachable over the WAN.
In affected versions of Octopus Server, permissions were not checked correctly, allowing any authenticated user to make server-level changes via a specific API endpoint despite receiving an error.
W podatności CVE-2026-49510 występuje przepełnienie lub owinięcie liczb całkowitych w otwartym źródle rlottie firmy Samsung, co umożliwia ataki typu Integer. Problem dotyczy wersji rlottie przed 21292665023e5074b38254432716866d00f1985f.

