CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed sierpniem 2025 roku, w Cloud-Hosted Flowise, istniała uwierzytelniona podatność, która pozwalała użytkownikom na darmowym poziomie dostępu do wrażliwych zmiennych środowiskowych innych najemców za pośrednictwem węzła Custom JavaScript Function.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce yonisink Custom Post Type Images umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.5 włącznie.
Niewystarczające zabezpieczenie konta proxyuser w platformie zarządzania IoT AiKaan, w połączeniu z użyciem wspólnego, zakodowanego klucza prywatnego SSH, umożliwia zdalnym atakującym uwierzytelnienie się w kontrolerze chmurowym, uzyskanie dostępu do powłoki interaktywnej oraz przejście do innych podłączonych urządzeń IoT. Może to prowadzić do zdalnego wykonania kodu, ujawnienia informacji oraz eskalacji uprawnień w środowiskach klientów.
AiKaan Cloud Controller wykorzystuje jednego hardcodowanego klucza prywatnego SSH oraz nazwę użytkownika `proxyuser` do zdalnego dostępu terminalowego do wszystkich zarządzanych urządzeń IoT/edge. W momencie, gdy administrator inicjuje 'Otwórz zdalny terminal' z pulpitu AiKaan, kontroler wysyła ten sam statyczny klucz prywatny do docelowego urządzenia, co stwarza ryzyko nieautoryzowanego dostępu.
Wersje Starch 0.14 i wcześniejsze generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji zwraca skrót SHA-1, który jest podatny na przewidywanie.
Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 6.0 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed przejęciem biznesu przy użyciu akcji AJAX claim_business.
Motyw Goza - Nonprofit Charity dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w funkcji 'beplus_import_pack_install_plugin' we wszystkich wersjach do 3.2.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshale podszywające się pod wtyczki, co prowadzi do zdalnego wykonania kodu.
Wrażliwość polega na tym, że klucz używany do walidacji tokenów uwierzytelniających jest zakodowany w oprogramowaniu urządzenia w dotkniętych wersjach. Atakujący, który zdobędzie ten klucz, może obejść proces uwierzytelniania, uzyskując pełny dostęp do systemu.
Urządzenia Dover Fueling Solutions ProGauge MagLink LX4 mają domyślne dane logowania dla konta root, które nie mogą być zmienione za pomocą standardowych metod administracyjnych. Atakujący z dostępem do sieci urządzenia może uzyskać dostęp administracyjny do systemu.
Podatność CVE-2024-13151 dotyczy oprogramowania Auto Service firmy ESBI Information and Telecommunication Industry and Trade Limited Company, które pozwala na wstrzyknięcie kodu SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach przed 2025.10.01.
Podatność w wersji v6.0.0a1 i wcześniejszych invokeai umożliwia atakującym przeprowadzenie ataku typu path traversal oraz usunięcie dowolnych plików za pomocą punktu końcowego GET /api/v1/images/download/{bulk_download_item_name}. Manipulując argumentami nazwy pliku, atakujący mogą odczytać i usunąć dowolne pliki na serwerze, w tym krytyczne pliki systemowe.
Wtyczka WP Hotel Booking dla WordPressa przed wersją 2.2.3 nie posiada odpowiedniej walidacji po stronie serwera dla ocen recenzji, co pozwala atakującemu na manipulację wartością oceny (np. wysyłanie wartości negatywnych lub poza zakresem) poprzez przechwytywanie i modyfikowanie żądań.
Wtyczka WordPress Password Reset with Code dla API REST WordPressa w wersjach przed 0.0.17 nie wykorzystuje algorytmów kryptograficznych do generowania kodów OTP, co może prowadzić do przejęcia konta.
W Dyad, lokalnej aplikacji do budowy AI, odkryto krytyczną podatność, która dotyczy wersji v0.19.0 i wcześniejszych. Umożliwia ona atakującym wykonanie dowolnego kodu na systemach użytkowników poprzez funkcjonalność okna podglądu aplikacji.
W wersjach NeuVector do 5.4.5 istnieje podatność, w której stały ciąg jest używany jako domyślne hasło dla wbudowanego konta `admin`. Jeśli to hasło nie zostanie zmienione natychmiast po wdrożeniu, każdy workload z dostępem do sieci w klastrze może wykorzystać domyślne dane uwierzytelniające do uzyskania tokena uwierzytelniającego.
W systemie automatyzacji bibliotek Yordam Informatics występuje podatność na SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji 21.5 i 21.6 przed 21.7.
Niektóre modele bramek komórkowych przemysłowych opracowanych przez Planet Technology mają podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na urządzeniu.
Niektóre modele bramek komórkowych przemysłowych opracowanych przez Planet Technology mają lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na manipulację urządzeniem za pomocą określonej funkcjonalności.
Podatność w punkcie końcowym SOAP EnableTwoFactorAuthRequest w Zimbra Collaboration (ZCS) pozwala atakującemu z ważnymi danymi logowania na ominięcie ochrony dwuskładnikowego uwierzytelniania (2FA). Atakujący może skonfigurować dodatkową metodę 2FA bez konieczności przedstawienia ważnego tokena uwierzytelniającego.
SQL Injection vulnerability in TDuckCloud v.5.1 allows a remote attacker to execute arbitrary code via the Add a file upload module.

