CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka 百度站长SEO合集 dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji download_remote_image_to_media_library we wszystkich wersjach do i włącznie z 2.0.6. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
mediDOK w wersjach przed 2.5.18.43 umożliwia zdalnym atakującym wykonanie złośliwego kodu na docelowym systemie poprzez deserializację nieufnych danych.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 (wszystkie wersje < V2.16.5). Narzędzie 'traceroute' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 oraz RX5000 w wersjach poniżej V2.16.5. Narzędzie 'tcpdump' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Zidentyfikowano podatność w urządzeniach RUGGEDCOM ROX MX5000, ROX MX5000RE, ROX RX1400, ROX RX1500, ROX RX1501, ROX RX1510, ROX RX1511, ROX RX1512, ROX RX1524, ROX RX1536 oraz ROX RX5000 w wersjach poniżej V2.16.5. Narzędzie 'ping' w interfejsie webowym tych urządzeń jest podatne na wstrzyknięcie poleceń z powodu braku odpowiedniej sanitacji danych wejściowych po stronie serwera.
Oprogramowanie do fakturowania w wersji 1.0 jest podatne na wiele nieautoryzowanych ataków typu SQL Injection. Parametr 'username' w zasobie loginCheck.php nie waliduje otrzymywanych znaków, które są przesyłane do bazy danych bez filtracji.
Podatność umożliwia atakującemu włączenie udostępniania folderu iCloud bez wymaganego uwierzytelnienia. Problem został rozwiązany poprzez dodatkowe kontrole uprawnień w systemach iOS 18.5, iPadOS 18.5, iPadOS 17.7.7, macOS Sequoia 15.4, macOS Sonoma 14.7.6, macOS Ventura 13.7.6 oraz visionOS 2.5.
W podatności CVE-2025-47682 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Cozy Vision SMS Alert Order Notifications. Problem dotyczy wersji od n/a do 3.8.1 włącznie.
ISOinsight od Netvision zawiera podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
GPM od WormHole Tech posiada podatność na niezweryfikowaną zmianę hasła, która pozwala nieautoryzowanym atakującym zdalnym na zmianę hasła dowolnego użytkownika i zalogowanie się do systemu przy użyciu zmodyfikowanego hasła.
System zarządzania parkingiem firmy ZONG YU posiada lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na dostęp do określonych interfejsów API oraz wykonywanie funkcji systemowych. Funkcje te obejmują otwieranie bram i restartowanie systemu.
Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma podatność na nieautoryzowane przesyłanie plików, co pozwala zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.
Interfejs zarządzania siecią platformy zarządzania parkingiem Okcat od ZONG YU ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do funkcji systemowych. Funkcje te obejmują otwieranie bram, przeglądanie tablic rejestracyjnych oraz rekordów parkingowych, a także restartowanie systemu.
The Victure RX1800 device (firmware version EN_V1.0.0_r12_110933) uses a default password consisting of the last 8 digits of the MAC address. This makes the password easily guessable by anyone who knows the device's MAC address.
Wersje EnerSys AMPA od 24.04 do 24.16 są podatne na wstrzykiwanie poleceń, co może prowadzić do uzyskania zdalnego dostępu z uprawnieniami administratora.
EnerSys AMPA w wersji 22.09 i wcześniejszych jest podatny na wstrzykiwanie poleceń, co prowadzi do uzyskania zdalnego dostępu z uprawnieniami administratora.
Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z akceptacji ciągu supported_type dostarczonego przez użytkownika oraz nazwy przesyłanego pliku bez wymuszania rzeczywistych sprawdzeń rozszerzeń lub MIME w funkcji upload().
Wtyczka Frontend Login and Registration Blocks dla WordPress jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.
Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().
Wtyczka Envolve Plugin dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjach 'zetra_languageUpload' i 'zetra_fontsUpload' we wszystkich wersjach do 1.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

