CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka WP Foodbakery dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 4.7. Problem wynika z niewłaściwego ograniczenia aktualizacji metadanych użytkownika podczas rejestracji profilu.
System Spraw Szkolnych od Quanxun ma lukę, która umożliwia nieautoryzowanym atakującym przeglądanie określonych stron oraz uzyskiwanie informacji z bazy danych, w tym niezaszyfrowanych danych logowania administratora.
Wtyczka WP Foodbakery dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcji 'upload_publisher_profile_image' w wersjach do 4.7 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka WP Directorybox Manager dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.5 włącznie. Problem wynika z nieprawidłowego uwierzytelniania w funkcji 'wp_dp_enquiry_agent_contact_form_submit_callback'.
W Janto, w wersjach przed r12, występuje niezweryfikowana podatność na zmianę hasła. Atakujący bez uwierzytelnienia może zmienić hasło innego użytkownika, nie znając jego aktualnego hasła, wysyłając odpowiednie żądanie POST do punktu końcowego '/public/cgi/Gateway.php'.
Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji sainwp OneStore Sites umożliwia przeprowadzenie ataków CSRF. Problem ten dotyczy wersji OneStore Sites od n/a do 0.1.1 włącznie.
Podatność typu Cross-Site Request Forgery (CSRF) w szablonach startowych FancyWP pozwala na przeprowadzenie ataku CSRF. Problem dotyczy szablonów startowych FancyWP w wersjach od n/a do 2.0.0.
W podatności CVE-2025-25101 występuje problem Cross-Site Request Forgery (CSRF) w MetricThemes Munk Sites, który pozwala na przeprowadzenie ataku CSRF. Dotyczy to wersji Munk Sites od n/a do 1.0.7 włącznie.
Wtyczka Nextend Social Login Pro dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.1.16 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika dostarczanego podczas żądania uwierzytelnienia Apple OAuth przez wtyczkę.
Wiele produktów Elber jest podatnych na lukę w autoryzacji, która umożliwia nieautoryzowany dostęp do funkcji zarządzania hasłami. Atakujący mogą wykorzystać tę lukę, manipulując punktem końcowym, aby nadpisać hasło dowolnego użytkownika w systemie.
MDC to narzędzie do przetwarzania Markdown, które w dotkniętych wersjach ma niebezpieczną logikę analizy URL, co może prowadzić do wykonania dowolnego kodu JavaScript. Bypass istniejących zabezpieczeń wokół schematu protokołu `javascript:` umożliwia atakującym wykorzystanie złośliwych łączy XSS.
Urządzenia Forever KidsWatch Call Me KW50 oraz KW60 zawierają podatność związaną z twardo zakodowanym hasłem. Ta luka może umożliwić nieautoryzowany dostęp do funkcji urządzenia.
Wbudowana komenda konfiguracji SMS w urządzeniach Forever KidsWatch Call Me KW50 oraz Forever KidsWatch Call Me 2 umożliwia złośliwym użytkownikom zmianę numeru IMEI urządzenia, co pozwala na fałszowanie tożsamości urządzenia.
Urządzenia Forever KidsWatch Call Me KW-50 oraz KW-60 umożliwiają złośliwemu użytkownikowi uzyskanie informacji o urządzeniu poprzez wysłanie SMS-a, co skutkuje zwróceniem wrażliwych danych.
OpenPLC_V3 zawiera podatność na nieautoryzowane przesyłanie plików, co może być wykorzystane do kampanii złośliwego oprogramowania lub phishingu.
Najnowsza wersja utils-extend (1.0.8) jest podatna na zanieczyszczenie prototypu poprzez funkcję lib.extend. Atakujący może dostarczyć ładunek z ustawieniem Object.prototype, co pozwala na wprowadzenie lub modyfikację właściwości w globalnym łańcuchu prototypów.
Podatność w komponencie Veeam Updater umożliwia atakującym typu Man-in-the-Middle wykonanie dowolnego kodu na zaatakowanym serwerze. Problem wynika z niewłaściwej walidacji certyfikatu TLS.
W wersji 3.5.3 systemu compop.ca ONLINE MALL występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametry rid, tid, et i ts.
HMI C-more EA9 firmy AutomationDirect zawiera funkcję z kontrolą zakresu, którą można pominąć. Może to umożliwić atakującemu wykorzystanie tej funkcji do spowodowania warunków odmowy usługi lub zdalnego wykonania kodu na zaatakowanym urządzeniu.
W narzędziu Post/Page Copying Tool występuje podatność na wstrzykiwanie kodu ('Code Injection'), która pozwala na zdalne włączenie kodu. Problem ten dotyczy wersji od n/a do 2.0.3.

