CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
WGS-80HPT-V2 oraz WGS-4215-8T2S mają lukę w zabezpieczeniach, która pozwala atakującemu na utworzenie konta administratora bez znajomości jakichkolwiek istniejących poświadczeń. Brak autoryzacji stwarza poważne zagrożenie dla systemu.
UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, co może pozwolić nieautoryzowanemu atakującemu na odczyt, manipulację oraz tworzenie wpisów w zarządzanej bazie danych.
UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, które mogą umożliwić nieautoryzowanemu atakującemu uzyskanie uprawnień administracyjnych do wszystkich urządzeń zarządzanych przez UNI-NMS.
Urządzenia WGS-80HPT-V2 i WGS-4215-8T2S są podatne na atak typu injection komend, który może umożliwić nieautoryzowanemu atakującemu wykonanie poleceń systemu operacyjnego na systemie gospodarza.
UNI-NMS-Lite jest podatny na atak typu injection poleceń, który może umożliwić nieautoryzowanemu atakującemu odczyt lub manipulację danymi urządzenia.
h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.
YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.
Podatność CVE-2025-46264 wtyczki PowerPress Podcasting umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji PowerPress Podcasting od n/a do 11.12.5 włącznie.
Podatność CVE-2025-46248 dotyczy niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w aplikacji Frontend Dashboard w wersjach od n/a do 2.2.5.
Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.
Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.
Wtyczka Database Toolset jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji we wszystkich wersjach do i włącznie z 1.8.4. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Podatność w usłudze cmdb menedżera klastrów wydajności HPE (HPCM) może umożliwić atakującemu dostęp do dowolnego pliku na hoście serwera.
LabVantage przed wersją LV 8.8.0.13 HF6 umożliwia lokalne włączenie plików. Użytkownicy z autoryzacją mogą pobierać dowolne pliki z systemu za pomocą parametru request objectname.
MuM MapEdit w wersji 24.2.3 jest podatny na atak typu SQL Injection, co pozwala atakującemu na wykonanie złośliwych zapytań SQL, które mogą kontrolować serwer bazy danych aplikacji webowej.
Wtyczka passprompt w pppd w ppp przed wersją 2.5.2 niewłaściwie zarządza uprawnieniami.
Adept to język ogólnego przeznaczenia. Przed poprawką a1a41b7, plik workflow remoteBuild.yml używał actions/upload-artifact@v4 do przesyłania artefaktu mac-standalone, który zawierał plik .git/config z tokenem GITHUB_TOKEN, co stwarzało ryzyko jego wycieku.
An arbitrary file upload vulnerability was found in the ueditor component of MCMS version 5.4.3. Attackers can exploit this flaw to execute arbitrary code by uploading a crafted file.
Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.
Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

