CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Wtyczka AI Engine dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.1.3 włącznie, poprzez punkt końcowy REST API /mcp/v1/, który ujawnia wartość 'Bearer Token' przy włączonym 'No-Auth URL'.
Wtyczka Easy Upload Files During Checkout dla WordPressa jest podatna na przesyłanie dowolnych plików JavaScript z powodu braku walidacji typu pliku w funkcji 'file_during_checkout' we wszystkich wersjach do 2.9.8 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików JavaScript na serwer dotkniętej witryny.
Wtyczka Simple User Capabilities dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji suc_submit_capabilities() we wszystkich wersjach do i włącznie z 1.0. Umożliwia to nieautoryzowanym atakującym podniesienie roli dowolnego konta użytkownika do administratora.
Wtyczka CE21 Suite dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 2.3.1 włącznie, poprzez plik dziennika. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, w tym poświadczeń uwierzytelniających.
Wtyczka CE21 Suite dla WordPressa jest podatna na nieautoryzowaną aktualizację ustawień wtyczki z powodu braku sprawdzenia uprawnień w akcji AJAX wp_ajax_nopriv_ce21_single_sign_on_save_api_settings w wersjach od 2.2.1 do 2.3.1. Umożliwia to nieautoryzowanym atakującym aktualizację ustawień API wtyczki, w tym tajnego klucza używanego do uwierzytelniania.
W kamerach Geutebruck G-Cam E-Series odkryto nieautoryzowaną podatność na SQL Injection poprzez parametr `Group` w skrypcie `/uapi-cgi/viewer/Param.cgi`. Potwierdzono to na kamerze EFD-2130 działającej na wersji oprogramowania 1.12.0.19.
Serwer deweloperski Metro, uruchamiany przez CLI społeczności React Native, domyślnie wiąże się z interfejsami zewnętrznymi. Serwer udostępnia punkt końcowy, który jest podatny na wstrzykiwanie poleceń systemowych.
Wtyczka Doccure Core dla WordPressa jest podatna na eskalację uprawnień w wersjach do, ale nie włączając, 1.5.4. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę lub dostarczyć pole 'user_type'.
Podatność CVE-2025-0987 dotyczy projektu CVLand firmy CB Project Ltd. Co. i polega na obejściu autoryzacji poprzez wstrzykiwanie parametrów kontrolowanych przez użytkownika. Problem ten występuje w wersjach CVLand od 2.1.0 do 20251103.
Wtyczka Tablesome Table – Contact Form DB dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_featured_image_from_external_url() w wersjach do 1.1.32 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.
Nieprawidłowa kontrola dostępu w punkcie końcowym realtime.cgi urządzeń Deep Sea Electronics DSE855 w wersjach od 1.1.0 do 1.1.26 umożliwia atakującym uzyskanie dostępu do panelu administracyjnego oraz pełnej kontroli nad urządzeniem.
W podatności CVE-2025-6520 w technologii Abis BAPSIS występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji BAPSIS przed 202510271606.
Wtyczka King Addons for Elementor dla WordPressa jest podatna na eskalację uprawnień w wersjach od 24.12.92 do 51.1.14. Problem wynika z niewłaściwego ograniczenia ról, które użytkownicy mogą rejestrować.
Motyw Noo JobMonster dla WordPressa jest podatny na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 4.8.1. Problem wynika z funkcji check_login(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.
Zidentyfikowano krytyczną podatność w roli ALPR Manager w systemie Security Center, która może umożliwić atakującym uzyskanie dostępu administracyjnego do systemu Genetec Security Center. Problem został odkryty wewnętrznie przez zespół inżynieryjny Genetec.
Omni-tools w wersji 0.4.0 jest podatny na zdalne wykonanie kodu z powodu niebezpiecznej deserializacji JSON. Atakujący może wykorzystać tę podatność do uruchomienia dowolnego kodu na zdalnym systemie.
Zidentyfikowano podatność w NeuVector, gdzie egzekutor używał zmiennych środowiskowych CLUSTER_RPC_PORT i CLUSTER_LAN_PORT do generowania polecenia wykonywanego za pomocą popen, bez wcześniejszej walidacji ich wartości. To może umożliwić złośliwemu użytkownikowi wstrzyknięcie złośliwych poleceń przez te zmienne w kontenerze egzekutora.
Podatność CVE-2025-11202 dotyczy win-cli-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
W kliencie phddns w urządzeniu Blu-Castle BCUM221E w wersji 1.0.0P220507 odkryto problem z przepełnieniem bufora na stosie, który występuje w polu hasła.

