CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność typu Cross-Site Request Forgery (CSRF) w Uncodethemes Ultra Demo Importer (wersje od n/a do 1.0.5) umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy funkcji importu demo w tym wtyczce.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Buddypress Humanity pozwala na przeprowadzenie ataków CSRF. Problem dotyczy wersji Buddypress Humanity od n/a do 1.2 włącznie.
Podatność CVE-2025-31002 w Squeeze pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Squeeze od n/a do 1.6 włącznie.
W urządzeniach Wi-Fi AP UNIT 'AC-WPS-11ac series' występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, zdalny atakujący, który ma dostęp do logowania, może wykonać dowolne polecenie systemowe.
Wersja Tiki przed 28.3 zawiera podatność w wikiplugin_includetpl, która niewłaściwie obsługuje dane wejściowe przekazywane do funkcji eval. Problem został naprawiony w wersjach 21.12, 24.8, 27.2 oraz 28.3.
The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.
Zidentyfikowano podatność w zestawie narzędzi Industrial Edge Device Kit dla architektur arm64 i x86-64 w różnych wersjach. Wersje przed V1.20.2-1 dla arm64 oraz przed V1.21.1-1 dla x86-64 są szczególnie narażone.
SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.
SAP Financial Consolidation umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do konta administratora. Podatność wynika z niewłaściwych mechanizmów uwierzytelniania, co ma duży wpływ na poufność, integralność i dostępność aplikacji.
SAP S/4HANA umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.
Wtyczka Simple WP Events dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji AJAX wpe_delete_file we wszystkich wersjach do i włącznie z 1.8.17. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonywanie na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.
Usługa internetowa iSherlock od HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.
Langflow versions prior to 1.3.0 are vulnerable to code injection via the /api/v1/validate/code endpoint. An unauthenticated remote attacker can execute arbitrary code by sending crafted HTTP requests.
Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.
W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.
Podatność CVE-2025-32118 dotyczy wtyczki CMP – Coming Soon & Maintenance, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
CVE-2025-31480 dotyczy rozszerzenia PostgreSQL o nazwie aiven-extras, które ma lukę umożliwiającą eskalację uprawnień do superużytkownika w bazach danych PostgreSQL. Luka ta wykorzystuje fakt, że funkcja format nie jest prefiksowana schematem.
W podatności CVE-2025-31403 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji shiptrack Booking Calendar i Notification. Problem dotyczy wersji od n/a do 4.0.3 włącznie.

