CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-49324
Medium

A vulnerability in the Wireless Control Module (WCM) of the Indian Motorcycle Scout Bobber + Tech 2025 allows an adjacent-network attacker with write access to the in-vehicle network to permanently immobilize the motorcycle. The brute-force lockout mechanism on the immobilizer authentication algorithm is exploitable because the lockout counter is reachable by any unauthenticated message, has no session binding, and does not reset on power cycle. An attacker can deliberately trigger the lockout with a small number of crafted frames, leaving the bike un-startable until dealer service.

CVE-2026-49323
Medium

Weak authentication between the Wireless Control Module (WCM) and the Engine Control Module (ECM) of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker with read access to the in-vehicle network to recover the per-vehicle ECM immobilizer secret by passively observing a single seed/key exchange. The WCM uses a reversible, non-cryptographic operation instead of a cryptographic challenge-response, enabling reconstruction of the persistent immobilizer secret from one captured exchange.

CVE-2026-45551
Medium

GroupOffice, narzędzie do zarządzania relacjami z klientami i grupowe, przed wersjami 26.0.25, 25.0.100 i 6.8.165, pozwala uwierzytelnionym użytkownikom na trwałe zapisanie dowolnych ustawień dla każdego identyfikatora użytkownika. W połączeniu z problemem w module e-mail, niskoprawni użytkownicy mogą nadpisać ustawienie czcionki e-mail administratora, co prowadzi do ataku XSS.

CVE-2026-9811
Medium

W Mautic 7 występuje podatność typu Cross-Site Scripting (XSS) w komponencie selektora projektów. Aplikacja nie sanitizuje nazw projektów zwracanych przez AJAX, co pozwala na wstrzyknięcie złośliwego skryptu do DOM.

CVE-2026-9557
Medium

W komponencie Focus Mautic występuje podatność typu Server-Side Request Forgery (SSRF). Z powodu niewystarczającej walidacji adresów URL dostarczonych przez użytkowników, uwierzytelniony użytkownik może wywołać wychodzące żądania HTTP z serwera hostingowego.

CVE-2025-12714
Medium

Wtyczka Rank Math SEO – AI SEO Tools to Dominate SEO Rankings dla WordPress jest podatna na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji update_site_editor_homepage we wszystkich wersjach do 1.0.271 włącznie. Umożliwia to nieautoryzowanym atakującym modyfikację ustawień wtyczki, co może poważnie wpłynąć na pozycjonowanie SEO.

CVE-2026-9189
Medium

Wtyczka Contact Form 7 – PayPal & Stripe Add-on dla WordPressa jest podatna na obejście płatności z powodu niewystarczającej weryfikacji autentyczności danych we wszystkich wersjach do 2.4.9 włącznie. Funkcja `cf7pp_paypal_ipn_handler()` poprawnie weryfikuje autentyczność IPN, ale nie porównuje kluczowych pól z danymi zamówienia, co pozwala atakującym na oznaczanie zamówień jako opłacone bez odpowiedniej weryfikacji.

CVE-2026-49198
Medium

Improper access control in the MQTT broker allows wildcard topic subscriptions, exposing all MQTT traffic to unauthorized actors.

CVE-2026-10058
Medium

System SCADA Intelligent opracowany przez ITP Technology ma podatność na przechowywane Cross-Site Scripting, która pozwala zdalnym atakującym z uprawnieniami na wstrzykiwanie trwałych kodów JavaScript, które są wykonywane w przeglądarkach użytkowników po załadowaniu strony.

CVE-2026-10057
Medium

System SCADA Intelligent opracowany przez ITP Technology zawiera podatność na przechowywane ataki Cross-Site Scripting (XSS), która umożliwia zdalnym atakującym z uprawnieniami wstrzykiwanie trwałych kodów JavaScript. Kody te są wykonywane w przeglądarkach użytkowników po załadowaniu strony.

CVE-2026-10052
Medium

W narzędziu konfiguracyjnym Quay znaleziono lukę w funkcjach walidacji LDAP i SMTP. Atakujący z dostępem do edytora konfiguracji może wykorzystać te funkcje, które nawiązują połączenia wychodzące do dostarczonych przez użytkownika punktów końcowych bez odpowiedniego filtrowania IP lub hosta.

CVE-2026-10039
Medium

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order' we wszystkich wersjach do 3.28.28 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej dodawanie dodatkowych zapytań SQL do już istniejących zapytań.

CVE-2026-9243
Medium

Wtyczka Plus Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'carousel_direction' w widżecie Carousel Anything w wersjach do 6.4.15 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcji render(), gdzie wartość carousel_direction jest umieszczana w niecytowanym atrybucie HTML (dir=), co pozwala na wstrzykiwanie atrybutów mimo użycia esc_attr().

CVE-2026-49322
Medium

A vulnerability in the Wireless Control Module (WCM) of the 2025 Indian Motorcycle Scout Bobber + Tech allows an adjacent-network attacker with read access to the in-vehicle network to recover the user-set unlock PIN by passively observing a single PIN authentication exchange. The Infotainment Digital Round display computes its response using a non-cryptographic operation rather than a cryptographic challenge-response, so the PIN is mathematically derivable from one captured exchange, defeating the motorcycle's primary user-authentication control.

CVE-2026-9714
Medium

Wtyczka Simple Divi Shortcode dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' shortcode'a [showmodule] w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji showmodule_shortcode(), co pozwala atakującym na wstrzykiwanie dowolnych skryptów HTML.

CVE-2026-9493
Medium

Usługa Service Center opracowana przez BankPro E-Service Technology zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektu, co pozwala uwierzytelnionym zdalnym atakującym na modyfikację parametru konkretnej funkcji zapytania w celu uzyskania dostępu do szczegółów zamówień EC innych użytkowników.

CVE-2026-6324
Medium

W libsoup znaleziono lukę, która pozwala zdalnemu atakującemu wykorzystać błąd konwersji z niezabezpieczonego na zabezpieczony w funkcji `soup_body_input_stream_read_chunked()`. Luka ta występuje, gdy libsoup działa za serwerem proxy, który nie jest libsoup lub jako proxy przed backendem, który również nie jest libsoup.

CVE-2026-6275
Medium

Wtyczka StatCounter – Free Real Time Visitor Stats dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting w wersjach do 2.1.1 włącznie. Problem wynika z niewystarczającego zabezpieczenia danych wyjściowych w funkcji statcounter_addToTags(), która wywołuje nazwisko autora posta bez odpowiedniego przetwarzania.

CVE-2025-14042
Medium

Motoryzacyjny motyw WordPress dla dealerów samochodowych jest podatny na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe pole 'Project Details' w elementach portfolio w wersjach do 13.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów dostarczanych przez użytkowników.

CVE-2026-2128
Medium

Wtyczka Breeze dla WordPressa jest podatna na ujawnienie wrażliwych informacji osobom nieuprawnionym we wszystkich wersjach do i włącznie z 2.5.2. Problem wynika z niewłaściwej weryfikacji ciasteczka `wordpress_logged_in_` w pliku `inc/cache/execute-cache.php`, gdy włączona jest opcja 'Cache Logged-in Users'.

PreviousPage 204 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS