CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka ZoomSounds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku 'savepng.php' w wersjach do 5.96 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka Mega Menu dla WordPressa jest podatna na tworzenie dowolnych plików w wersjach do 2.0.6 włącznie, poprzez akcję AJAX compiler_save. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików PHP, które mogą być użyte do wykonania złośliwego kodu.
Wtyczka ThemeGrill Demo Importer dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku sprawdzenia uprawnień w funkcji reset_wizard_actions w wersjach od 1.3.4 do 1.6.1. Umożliwia to uwierzytelnionym atakującym zresetowanie bazy danych WordPressa.
Wtyczka Ultimate Membership Pro dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 7.3 do 8.6. Umożliwia to nieautoryzowanym atakującym zalogowanie się jako dowolny użytkownik, w tym administrator strony, przy użyciu nazwy użytkownika lub identyfikatora użytkownika.
Nieprawidłowa kontrola uprawnień w aplikacji mobilnej (com.transsion.aivoiceassistant) może prowadzić do uruchomienia dowolnego nieeksportowanego komponentu.
Wtyczka UltimateAI dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.8.3 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika w funkcji 'ultimate_ai_register_or_login_with_google', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.
Podatność na przesyłanie plików w wersji v2.0.9.41 DYCMS Open-Source umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez aplikację, która jedynie sprawdza rozszerzenia plików graficznych w interfejsie użytkownika.
W wersji 2.3.6 oprogramowania Wanxing Technology Yitu Project Management Kirin Edition występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez specjalnie skonstruowany plik so w lokalizacji /opt/EdrawProj-2/plugins/imageformat.
W oprogramowaniu do zarządzania projektem Yitu firmy Wanxing Technology w wersji 3.2.2 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez parametr platformpluginpath, umożliwiający załadowanie katalogu z wtyczką qt.
Mbed TLS w wersjach 3.5.x do 3.6.x przed 3.6.2 zawiera błąd typu buffer underrun w funkcji pkwrite podczas zapisywania nieprzezroczystej pary kluczy.
Vendure to otwartoźródłowa platforma handlu bezgłowego. W wersjach przed 3.0.5 i 2.3.3 występuje podatność w wtyczce serwera zasobów, która pozwala atakującemu na skonstruowanie żądania umożliwiającego przeszukiwanie systemu plików serwera i pobieranie zawartości dowolnych plików, w tym wrażliwych danych, takich jak pliki konfiguracyjne czy zmienne środowiskowe.
Funkcja aktualizacji oprogramowania w interfejsie administracyjnym urządzeń Rittal IoT Interface i CMC III Processing Unit sprawdza, czy pliki łatki są podpisane przed wykonaniem skryptu run.sh. Proces podpisywania oparty jest na HMAC z długim kluczem, który jest zakodowany w oprogramowaniu i dostępny do pobrania.
Platforma marketingowa AIM LINE od Esi Technology nieprawidłowo waliduje określony parametr zapytania. Gdy moduł kampanii LINE jest włączony, nieautoryzowani zdalni atakujący mogą wstrzykiwać dowolne polecenia FetchXml, co pozwala na odczyt, modyfikację i usunięcie zawartości bazy danych.
System zarządzania nieruchomościami od ChanGate zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
W systemie Automatic Systems Maintenance SlimLane 29565_d74ecce0c1081d50546db573a499941b10799fb7 występuje podatność na lokalne włączenie pliku, która umożliwia zdalnemu atakującemu eskalację uprawnień poprzez stronę PassageAutoServer.php.
Podatny produkt nie posiada weryfikacji uwierzytelnienia podczas wysyłania poleceń do serwera za pośrednictwem usługi Moxa. Ta podatność umożliwia atakującemu wykonanie określonych poleceń, co może prowadzić do nieautoryzowanego pobierania lub przesyłania plików konfiguracyjnych oraz kompromitacji systemu.
Poprawka dla CVE-2024-26261 była niekompletna, co pozostawia pakiet OAKlouds od Hgiga wciąż narażonym. Nieautoryzowani zdalni atakujący mogą pobierać dowolne pliki systemowe, które mogą być następnie usunięte.
A vulnerability in C-CHIP (com.cchip.cchipamaota) version 1.2.8 allows a remote attacker to obtain sensitive information through the firmware update process.
A vulnerability in the Revic Ops application (us.revic.revicops) version 1.12.5 allows a remote attacker to obtain sensitive information through the firmware update process.
A vulnerability in the SwitchBot app (version 5.0.4) allows a remote attacker to obtain sensitive information during the firmware update process.

