CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Favicon Generator dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 1.5 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji output_sub_admin_page_0, co umożliwia nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze poprzez sfałszowane żądanie.
Wtyczka porte_plume używana przez SPIP przed wersjami 4.30-alpha2, 4.2.13 i 4.1.16 jest podatna na wykonanie dowolnego kodu. Zdalny, nieautoryzowany atakujący może wykonać dowolny kod PHP jako użytkownik SPIP, wysyłając odpowiednio skonstruowane żądanie HTTP.
The Ezviz Internet PT Camera CS-CV246 D15655150 allows an unauthenticated host to access its live video stream by crafting a set of RTSP packets with specific URLs that can redirect the camera feed. The vendor claims that the sample code can establish RTSP communication but cannot obtain video or audio data, thus no risk.
Podatność CVE-2023-6452 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Forcepoint Web Security, co prowadzi do możliwości wystąpienia trwałego ataku typu Cross-Site Scripting (XSS). Atakujący mogą wykorzystać pole 'user agent' w Transaction Viewer, aby wstrzyknąć złośliwy kod JavaScript.
Urządzenia Swissphone DiCal-RED 4009 umożliwiają zdalnemu atakującemu uzyskanie dostępu do powłoki root poprzez TELNET bez uwierzytelnienia.
Urządzenia Swissphone DiCal-RED 4009 umożliwiają zdalnemu atakującemu uzyskanie dostępu do interfejsu administracyjnego poprzez wartość hasha hasła urządzenia, bez znajomości rzeczywistego hasła.
Botnet Mirai do 19 sierpnia 2024 roku niewłaściwie obsługuje jednoczesne połączenia TCP z serwerem CNC (command and control). Sesje nieautoryzowane pozostają otwarte, co prowadzi do zużycia zasobów.
Wtyczka WPML dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.6.12 z powodu wstrzyknięcia szablonów Twig po stronie serwera. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.
Podatność związana z nieprawidłowym przypisaniem uprawnień w LiteSpeed Technologies LiteSpeed Cache. Problem ten dotyczy wersji LiteSpeed Cache od n/a do 6.3.0.1.
Keyfactor Command w wersjach 10.5.x przed 10.5.1 oraz 11.5.x przed 11.5.1 zawiera podatność na atak typu SQL Injection, co może prowadzić do wykonania kodu oraz eskalacji uprawnień.
W systemie zarządzania hotelami występuje problem w komponencie logowania (process_login.php), który pozwala atakującym na uwierzytelnienie się bez podawania prawidłowego hasła.
Podatność CVE-2024-43354 dotyczy deserializacji niezaufanych danych w wtyczce myCred, która jest używana w systemie zarządzania treścią. Problem ten występuje w wersjach od n/a do 2.7.2 włącznie.
Podatność związana z niewłaściwym zarządzaniem uprawnieniami w Geek Code Lab Login As Users umożliwia eskalację uprawnień. Problem ten dotyczy wersji Login As Users od n/a do 1.4.2.
W podatności CVE-2024-43261 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co umożliwia zdalne dołączanie plików. Problem dotyczy wersji Compute Links od n/a do 1.2.1.
Podatność związana z deserializacją niezaufanych danych w systemie Crew HRM, która dotyczy wersji od n/a do 1.1.1 włącznie. Może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji.
Podatność w zarządzaniu uprawnieniami w aplikacji eyecix JobSearch umożliwia eskalację uprawnień. Problem ten dotyczy wersji JobSearch od n/a do 2.3.4.
Podatność CVE-2024-43242 dotyczy deserializacji niezaufanych danych w wtyczce Ultimate Membership Pro. Problem ten występuje w wersjach od n/a do 12.7 włącznie.
Podatność związana z niewłaściwą autoryzacją w wtyczce Ultimate Membership Pro od azzaroco. Problem ten dotyczy wersji Ultimate Membership Pro od n/a do 12.7 włącznie.
Wtyczki InPost dla WooCommerce oraz InPost PL dla WordPress są podatne na nieautoryzowany dostęp i usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji 'parse_request' we wszystkich wersjach do 1.4.0 (dla InPost dla WooCommerce) oraz 1.4.4 (dla InPost PL). Umożliwia to nieautoryzowanym atakującym odczyt i usuwanie dowolnych plików na serwerach Windows.
In Silverpeas version 6.4.2 and lower, the password change function does not enforce password complexity requirements, allowing weak passwords to be set.

