CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność w usłudze cmdb menedżera klastrów wydajności HPE (HPCM) może umożliwić atakującemu dostęp do dowolnego pliku na hoście serwera.
LabVantage przed wersją LV 8.8.0.13 HF6 umożliwia lokalne włączenie plików. Użytkownicy z autoryzacją mogą pobierać dowolne pliki z systemu za pomocą parametru request objectname.
MuM MapEdit w wersji 24.2.3 jest podatny na atak typu SQL Injection, co pozwala atakującemu na wykonanie złośliwych zapytań SQL, które mogą kontrolować serwer bazy danych aplikacji webowej.
Wtyczka passprompt w pppd w ppp przed wersją 2.5.2 niewłaściwie zarządza uprawnieniami.
Adept to język ogólnego przeznaczenia. Przed poprawką a1a41b7, plik workflow remoteBuild.yml używał actions/upload-artifact@v4 do przesyłania artefaktu mac-standalone, który zawierał plik .git/config z tokenem GITHUB_TOKEN, co stwarzało ryzyko jego wycieku.
An arbitrary file upload vulnerability was found in the ueditor component of MCMS version 5.4.3. Attackers can exploit this flaw to execute arbitrary code by uploading a crafted file.
Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.
Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka UrbanGo Membership dla WordPressa jest podatna na eskalację uprawnień w wersjach do 1.0.4 włącznie. Problem wynika z możliwości, jaką mają użytkownicy rejestrujący nowe konta, aby ustawić własną rolę, co pozwala na przypisanie roli administratora.
Nieprawidłowe zarządzanie sesjami w punkcie końcowym /login_ok.htm w DAEnetIP4 METO v1.25 umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
Nieprawidłowe zarządzanie sesjami w oprogramowaniu układowym Elber REBLE310 w wersji v5.5.1.R umożliwia atakującym przeprowadzenie ataku przejęcia sesji.
W nadajnikach serii Nautel VX w wersji oprogramowania VX SW v6.4.0 i wcześniejszych odkryto podatność na zdalne wykonanie kodu (RCE) w procesie aktualizacji firmware'u. Atakujący mogą wykonać dowolny kod, dostarczając spreparowany pakiet aktualizacyjny do punktu końcowego /#/software/upgrades.
Błąd w kontroli dostępu w urządzeniach BW Broadcast TX600, TX300, TX150, TX1000, TX30 i TX50 umożliwia atakującym dostęp do plików dziennika oraz wydobycie identyfikatorów sesji. To może prowadzić do ataku typu hijacking sesji.
Nieprawidłowa kontrola dostępu w Itel Electronics IP Stream w wersji 1.7.0.6 umożliwia nieautoryzowanym atakującym wykonywanie dowolnych poleceń z uprawnieniami administratora.
W produktach rejestrujących dostarczanych przez firmę Yokogawa Electric Corporation zidentyfikowano niebezpieczne domyślne ustawienia. Funkcja uwierzytelniania jest domyślnie wyłączona, co pozwala na dostęp do wszystkich funkcji związanych z ustawieniami i operacjami przez nieautoryzowanych użytkowników.
W podatności CVE-2025-39471 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Modal Survey w wersjach od n/a do 2.0.2.0.1.
W podatności CVE-2025-39596 występuje słaba autoryzacja w wtyczce Quentn WP, co umożliwia eskalację uprawnień. Problem dotyczy wersji Quentn WP od n/a do 1.2.8 włącznie.
W podatności CVE-2025-39595 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w Quentn WP. Problem dotyczy wersji Quentn WP od n/a do 1.2.8.
Podatność CVE-2025-39588 dotyczy deserializacji niezaufanych danych w dodatkach Ultimate Store Kit Elementor. Umożliwia to wstrzyknięcie obiektów, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
W podatności CVE-2025-39587 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w narzędziu Stylemix Cost Calculator Builder. Problem dotyczy wersji Cost Calculator Builder od n/a do 3.2.65 włącznie.

