CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Wtyczka HT Contact Form Widget dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji temp_file_upload(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.
Motyw Alone – Charity Multipurpose Non-profit dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w funkcji alone_import_pack_install_plugin() w wersjach do 7.8.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshells, podszywających się pod wtyczki, co prowadzi do zdalnego wykonania kodu.
Motyw Alone – Charity Multipurpose Non-profit dla WordPressa jest podatny na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji alone_import_pack_restore_data() w wersjach do 7.8.5 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
pyload to menedżer pobierania napisany w czystym Pythonie, który zawiera podatność na niebezpieczną ewaluację JavaScript w kodzie przetwarzania CAPTCHA. Umożliwia to nieautoryzowanym zdalnym atakującym wykonanie dowolnego kodu w przeglądarce klienta oraz potencjalnie na serwerze backendowym.
LaRecipe to aplikacja umożliwiająca użytkownikom tworzenie dokumentacji z użyciem Markdown w aplikacji Laravel. Wersje przed 2.8.1 są podatne na atak typu Server-Side Template Injection (SSTI), co może prowadzić do zdalnego wykonania kodu (RCE) w podatnych konfiguracjach.
Wykryto krytyczną podatność w urządzeniach LB-LINK BL-AC1900, BL-AC2100_AZ3, BL-AC3600, BL-AX1800, BL-AX5400P oraz BL-WR9000 do daty 20250702. Problem dotyczy funkcji reboot/restore w pliku /cgi-bin/lighttpd.cgi interfejsu webowego, co prowadzi do niewłaściwej autoryzacji.
iSherlock opracowany przez Hgiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze. Ta podatność została już wykorzystana.
Wtyczka AIT CSV import/export dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php w wersjach do 3.0.3 włącznie. To umożliwia atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Wtyczka GB Forms DB dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 1.0.2 włącznie, poprzez funkcję gbfdb_talk_to_front(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func().
Wtyczka Premium Age Verification / Restriction dla WordPressa jest podatna na nieautoryzowany odczyt i zapis plików z powodu niewystarczająco zabezpieczonej funkcjonalności wsparcia zdalnego w pliku remote_tunnel.php we wszystkich wersjach do 3.0.2 włącznie. Umożliwia to nieautoryzowanym atakującym odczyt lub zapis do dowolnych plików na serwerze dotkniętej witryny.
Produkty Emerson ValveLink przechowują wrażliwe informacje w postaci niezaszyfrowanej w pamięci. Wrażliwe dane mogą być zapisane na dysku, przechowywane w zrzucie pamięci lub pozostać nieusunięte w przypadku awarii produktu lub jeśli programista nie wyczyści pamięci przed jej zwolnieniem.
W systemach Honeywell Experion PKS i OneWireless WDM występuje podatność typu Integer Underflow w komponencie Control Data Access (CDA). Atakujący może wykorzystać tę podatność do manipulacji kanałem komunikacyjnym, co może prowadzić do wykonania zdalnego kodu.
DiscordNotifications to rozszerzenie dla MediaWiki, które wysyła powiadomienia o działaniach w Wiki do kanału Discord. Umożliwia ono wysyłanie żądań do dowolnych adresów URL, co może prowadzić do ataków typu DoS oraz SSRF, a w konsekwencji do zdalnego wykonania kodu (RCE).
Wtyczka gists dla Docusaurus dodaje stronę do instancji Docusaurus, wyświetlającą publiczne gisty użytkownika GitHub. Wersje docusaurus-plugin-content-gists przed 4.0.0 są podatne na ujawnienie osobistych tokenów dostępu GitHub w artefaktach budowy produkcyjnej, gdy są przekazywane przez opcje konfiguracyjne wtyczki.
Folo organizuje treści z kanałów w jedną oś czasu. Wykorzystanie pull_request_target w pliku .github/workflows/auto-fix-lint-format-commit.yml może być wykorzystane przez atakujących, ponieważ nieufny kod może być wykonany z pełnym dostępem do sekretów (z repozytorium bazowego).
mcp-remote jest podatny na wstrzykiwanie poleceń systemowych, gdy łączy się z nieufnymi serwerami MCP, z powodu spreparowanego wejścia z odpowiedzi URL authorization_endpoint.
Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086). Wykorzystując podatność na wstrzykiwanie poleceń systemu operacyjnego przez te interfejsy API, atakujący może wysyłać dowolne polecenia, które są wykonywane z uprawnieniami administratora przez system operacyjny.
Nieautoryzowany użytkownik z dostępem do sieci zarządzającej może uzyskać i modyfikować konfigurację Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20). Urządzenie posiada dwa serwery WWW, które udostępniają nieautoryzowane interfejsy API REST w sieci zarządzającej (porty TCP 8084 i 8086).
Motyw Sala - Startup & SaaS dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.1.4. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.
Wersje Adobe Connect 24.0 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu przez atakującego. Wykorzystanie tej luki wymaga interakcji użytkownika i zmienia zakres ataku.

