CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Serwer FTP PCMan w wersji 2.0 zawiera podatność na przepełnienie bufora w komendzie 'pwd', co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowany ładunek podczas procesu logowania FTP, aby nadpisać pamięć i potencjalnie uzyskać dostęp do systemu.
Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.
Insecure permissions in the scheduled tasks feature of MineAdmin v3.x allow attackers to execute arbitrary commands and perform a full account takeover.
Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Wtyczka LazyTasks – Zarządzanie projektami i zadaniami z współpracą, Kanban i wykresami Gantta dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.2.29. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przez punkt końcowy REST API 'wp-json/lazytasks/api/v1/user/role/edit/'.
Wtyczka WP CarDealer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.16. Problem wynika z funkcji 'WP_CarDealer_User::process_register', która nie ogranicza ról użytkowników, z jakimi można się rejestrować.
Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.
Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.
Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.
The Access Point functionality in EZCast Pro II before version 1.17478.177 has a predictable default Wi-Fi password, allowing attackers within Wi-Fi range to gain access to the device by calculating the default password from observable device identifiers.
In EZCast Pro II versions before 1.17478.177, hard-coded cryptographic keys in the admin UI allow attackers to bypass authorization checks and gain full access to the admin UI.
Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.
PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.
Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.
Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.
Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.
Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.
In OpenMPTCProuter up to version 0.64, a vulnerability was found in the file common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c in the function create_xor_ipad_opad, allowing potential arbitrary file writes or arbitrary command execution.
An improper verification of cryptographic signature vulnerability exists in Fortinet FortiWeb versions 8.0.0, 7.6.0 through 7.6.4, and 7.4.0 through 7.4.9. This may allow an unauthenticated attacker to bypass FortiCloud SSO login authentication via a crafted SAML response message.

