CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Alloggio Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwej walidacji tożsamości użytkownika w funkcjach alloggio_membership_init_rest_api_facebook_login oraz alloggio_membership_init_rest_api_google_login.
Wtyczka SetSail Membership dla WordPressa jest podatna na ataki we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwej weryfikacji tożsamości użytkowników przez logowanie społeczne.
Motyw Nokri – Job Board dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.6.2. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed aktualizacją danych użytkownika, takich jak hasło.
ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.
Podatność na obejście uwierzytelniania w aplikacji UniFi Protect z włączonymi urządzeniami Auto-Adopt Bridge może umożliwić złośliwemu aktorowi, który ma dostęp do sąsiedniej sieci kamer UniFi Protect, przejęcie kontroli nad tymi kamerami.
Podatność typu Use After Free w kamerach UniFi Protect może umożliwić zdalne wykonanie kodu (RCE) przez złośliwego aktora, który ma dostęp do sieci zarządzającej kamerami UniFi Protect.
Interfejs webowy Brocade ASCG przed wersją 3.2.0 nie wymusza HSTS, co jest zgodne z RFC 6797. Brak HSTS umożliwia ataki downgrade, ataki typu SSL-stripping oraz osłabia ochronę przed kradzieżą ciasteczek.
Wtyczka WooCommerce Ultimate Gift Card dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcjach 'mwb_wgm_preview_mail' oraz 'mwb_wgm_woocommerce_add_cart_item_data' w wersjach do 2.9.2 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Vue Vben Admin w wersji 2.10.1 umożliwia nieautoryzowane logowanie do panelu administracyjnego z powodu problemu z twardo zakodowanymi poświadczeniami.
A SQL injection vulnerability was discovered in GFast versions 2 to 3.2 via the OrderBy parameter at /system/operLog/list. An attacker can manipulate this parameter to execute unauthorized database queries.
A buffer overflow vulnerability exists in multiple Vigor routers in the CGI parser when handling the "Content-Length" header of HTTP POST requests. This allows a remote attacker to execute arbitrary code on the device.
A stack-based buffer overflow vulnerability has been found in the URL parsing functionality of the TR069 STUN server in DrayTek Vigor routers. Insufficient bounds checking on URL parameters allows a remote attacker to execute arbitrary code with elevated privileges by sending a maliciously crafted request.
W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2024-13148 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w platformie logowania B2B Yukseloglu, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji platformy przed 16.01.2025.
W wersji 2.15.5 oprogramowania Ciges od ATISoluciones odkryto podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie danych w bazie danych za pomocą parametru $idServicio w punkcie końcowym /modules/ajaxBloqueaCita.php.
Urządzenia TP-Link TL-WR845N z oprogramowaniem układowym TL-WR845N(UN)_V4_200909 i TL-WR845N(UN)_V4_190219 zawierają twardo zakodowane hasło dla konta root, które można uzyskać poprzez analizę pobranego oprogramowania lub atak brute force przy fizycznym dostępie do routera. Problem został rozwiązany w wersjach oprogramowania 250401 lub nowszych.
An arbitrary file upload vulnerability was found in FoxCMS v1.2.5 within the LocalTemplate.php component. Attackers can upload a crafted ZIP file, leading to arbitrary code execution on the server.
FoxCMS version 1.2.5 was found to contain a remote code execution (RCE) vulnerability in the index() method at \controller\Sitemap.php. An attacker can exploit this flaw to execute arbitrary code on the server.
JizhiCMS v2.5.4 was discovered to contain a Server-Side Request Forgery (SSRF) vulnerability in the component \c\PluginsController.php. This allows attackers to perform intranet scanning via a crafted request.
An arbitrary file upload vulnerability in Jizhicms v2.5.4 component TemplateController.php allows attackers to execute arbitrary code by uploading a crafted ZIP file.

