CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
A vulnerability in the Wireless Control Module (WCM) of the Indian Motorcycle Scout Bobber + Tech 2025 allows an adjacent-network attacker with write access to the in-vehicle network to permanently immobilize the motorcycle. The brute-force lockout mechanism on the immobilizer authentication algorithm is exploitable because the lockout counter is reachable by any unauthenticated message, has no session binding, and does not reset on power cycle. An attacker can deliberately trigger the lockout with a small number of crafted frames, leaving the bike un-startable until dealer service.
Weak authentication between the Wireless Control Module (WCM) and the Engine Control Module (ECM) of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker with read access to the in-vehicle network to recover the per-vehicle ECM immobilizer secret by passively observing a single seed/key exchange. The WCM uses a reversible, non-cryptographic operation instead of a cryptographic challenge-response, enabling reconstruction of the persistent immobilizer secret from one captured exchange.
GroupOffice, narzędzie do zarządzania relacjami z klientami i grupowe, przed wersjami 26.0.25, 25.0.100 i 6.8.165, pozwala uwierzytelnionym użytkownikom na trwałe zapisanie dowolnych ustawień dla każdego identyfikatora użytkownika. W połączeniu z problemem w module e-mail, niskoprawni użytkownicy mogą nadpisać ustawienie czcionki e-mail administratora, co prowadzi do ataku XSS.
W Mautic 7 występuje podatność typu Cross-Site Scripting (XSS) w komponencie selektora projektów. Aplikacja nie sanitizuje nazw projektów zwracanych przez AJAX, co pozwala na wstrzyknięcie złośliwego skryptu do DOM.
W komponencie Focus Mautic występuje podatność typu Server-Side Request Forgery (SSRF). Z powodu niewystarczającej walidacji adresów URL dostarczonych przez użytkowników, uwierzytelniony użytkownik może wywołać wychodzące żądania HTTP z serwera hostingowego.
Wtyczka Rank Math SEO – AI SEO Tools to Dominate SEO Rankings dla WordPress jest podatna na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji update_site_editor_homepage we wszystkich wersjach do 1.0.271 włącznie. Umożliwia to nieautoryzowanym atakującym modyfikację ustawień wtyczki, co może poważnie wpłynąć na pozycjonowanie SEO.
Wtyczka Contact Form 7 – PayPal & Stripe Add-on dla WordPressa jest podatna na obejście płatności z powodu niewystarczającej weryfikacji autentyczności danych we wszystkich wersjach do 2.4.9 włącznie. Funkcja `cf7pp_paypal_ipn_handler()` poprawnie weryfikuje autentyczność IPN, ale nie porównuje kluczowych pól z danymi zamówienia, co pozwala atakującym na oznaczanie zamówień jako opłacone bez odpowiedniej weryfikacji.
Improper access control in the MQTT broker allows wildcard topic subscriptions, exposing all MQTT traffic to unauthorized actors.
System SCADA Intelligent opracowany przez ITP Technology ma podatność na przechowywane Cross-Site Scripting, która pozwala zdalnym atakującym z uprawnieniami na wstrzykiwanie trwałych kodów JavaScript, które są wykonywane w przeglądarkach użytkowników po załadowaniu strony.
System SCADA Intelligent opracowany przez ITP Technology zawiera podatność na przechowywane ataki Cross-Site Scripting (XSS), która umożliwia zdalnym atakującym z uprawnieniami wstrzykiwanie trwałych kodów JavaScript. Kody te są wykonywane w przeglądarkach użytkowników po załadowaniu strony.
W narzędziu konfiguracyjnym Quay znaleziono lukę w funkcjach walidacji LDAP i SMTP. Atakujący z dostępem do edytora konfiguracji może wykorzystać te funkcje, które nawiązują połączenia wychodzące do dostarczonych przez użytkownika punktów końcowych bez odpowiedniego filtrowania IP lub hosta.
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order' we wszystkich wersjach do 3.28.28 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej dodawanie dodatkowych zapytań SQL do już istniejących zapytań.
Wtyczka Plus Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'carousel_direction' w widżecie Carousel Anything w wersjach do 6.4.15 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcji render(), gdzie wartość carousel_direction jest umieszczana w niecytowanym atrybucie HTML (dir=), co pozwala na wstrzykiwanie atrybutów mimo użycia esc_attr().
A vulnerability in the Wireless Control Module (WCM) of the 2025 Indian Motorcycle Scout Bobber + Tech allows an adjacent-network attacker with read access to the in-vehicle network to recover the user-set unlock PIN by passively observing a single PIN authentication exchange. The Infotainment Digital Round display computes its response using a non-cryptographic operation rather than a cryptographic challenge-response, so the PIN is mathematically derivable from one captured exchange, defeating the motorcycle's primary user-authentication control.
Wtyczka Simple Divi Shortcode dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' shortcode'a [showmodule] w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji showmodule_shortcode(), co pozwala atakującym na wstrzykiwanie dowolnych skryptów HTML.
Usługa Service Center opracowana przez BankPro E-Service Technology zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu, co pozwala uwierzytelnionym zdalnym atakującym na modyfikację parametru konkretnej funkcji zapytania w celu uzyskania dostępu do szczegółów zamówień EC innych użytkowników.
W libsoup znaleziono lukę, która pozwala zdalnemu atakującemu wykorzystać błąd konwersji z niezabezpieczonego na zabezpieczony w funkcji `soup_body_input_stream_read_chunked()`. Luka ta występuje, gdy libsoup działa za serwerem proxy, który nie jest libsoup lub jako proxy przed backendem, który również nie jest libsoup.
Wtyczka StatCounter – Free Real Time Visitor Stats dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting w wersjach do 2.1.1 włącznie. Problem wynika z niewystarczającego zabezpieczenia danych wyjściowych w funkcji statcounter_addToTags(), która wywołuje nazwisko autora posta bez odpowiedniego przetwarzania.
Motoryzacyjny motyw WordPress dla dealerów samochodowych jest podatny na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe pole 'Project Details' w elementach portfolio w wersjach do 13.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów dostarczanych przez użytkowników.
Wtyczka Breeze dla WordPressa jest podatna na ujawnienie wrażliwych informacji osobom nieuprawnionym we wszystkich wersjach do i włącznie z 2.5.2. Problem wynika z niewłaściwej weryfikacji ciasteczka `wordpress_logged_in_` w pliku `inc/cache/execute-cache.php`, gdy włączona jest opcja 'Cache Logged-in Users'.

