CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Podatność CVE-2025-35028 pozwala na wykonanie polecenia w kontekście serwera MCP z normalnymi uprawnieniami, zazwyczaj jako root, poprzez dostarczenie argumentu wiersza poleceń zaczynającego się od średnika do punktu końcowego API. W domyślnej konfiguracji serwera MCP nie ma próby sanitizacji tych argumentów.
Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.
Motyw Tiger dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do i włącznie z 101.2.1. Problem wynika z braku ograniczeń w pliku 'paypal-submit.php', który pozwala na rejestrację użytkowników z rolą 'administrator'.
Wtyczka Tiare Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2. Problem wynika z funkcji 'tiare_membership_init_rest_api_register', która nie ogranicza ról użytkowników podczas rejestracji.
Wtyczka FindAll Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.4. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'findall_membership_check_facebook_user' oraz 'findall_membership_check_google_user'.
Wtyczka FindAll Listing dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.5. Problem wynika z funkcji 'findall_listing_user_registration_additional_params', która nie ogranicza ról użytkowników podczas rejestracji.
A vulnerability in imonnit.com (as of 2025-04-24) allows attackers to escalate privileges via a crafted password reset, enabling takeover of arbitrary user accounts.
In classroomio 0.1.13, student accounts can delete courses from the Explore page without any authorization or authentication checks, bypassing the expected admin-only deletion restriction.
Zenitel TCIV-3+ jest podatny na refleksyjną podatność typu cross-site scripting, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niekompletnej walidacji danych wejściowych dostarczonych przez użytkownika. Niewystarczające zasady formatowania mogą umożliwić atakującym dodawanie dowolnych danych.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewystarczającego oczyszczania danych wejściowych dostarczanych przez użytkownika. Aplikacja akceptuje parametry, które są później włączane do poleceń systemowych bez odpowiedniej walidacji.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewłaściwej walidacji danych wejściowych. Aplikacja akceptuje parametr bez weryfikacji, czy jest to prawidłowy adres IP, co może umożliwić atakującemu wstrzyknięcie dowolnych poleceń.
Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach systemowych ('iniekcja poleceń') w Cursor umożliwia nieautoryzowanemu atakującemu wykonywanie poleceń spoza dozwolonej listy, co prowadzi do wykonania dowolnego kodu.
W Azure Application Gateway występuje przepełnienie bufora na stosie, które może zostać wykorzystane przez nieautoryzowanego atakującego do podniesienia uprawnień w sieci.
Wtyczka AI Feeds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w pliku 'actualizador_git.php' we wszystkich wersjach do 1.0.11 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.
Wtyczka CIBELES AI dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w pliku 'actualizador_git.php' w wersjach do 1.10.8 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów z GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.
A vulnerability in the cms_rest.php component of SIGB PMB v8.0.1.14 allows attackers to execute arbitrary code by unserializing an arbitrary file.
A Heap-based Buffer Overflow vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior. This could allow an attacker to disclose information or execute arbitrary code.
An Out-of-Bounds Write vulnerability is present in Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share versions 12.6.1204.216 and prior that could allow an attacker to disclose information or execute arbitrary code.
W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora w stercie podczas przetwarzania Content-Length. Otrzymanie specjalnie przygotowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.

