CVEbaza.plSłownik CWECWE-434
Common Weakness Enumeration

CWE-434

Unrestricted Upload of File with Dangerous Type

Kategoria: BaseCVE: 4987
Opis

Produkt umożliwia przesyłanie lub transfer niebezpiecznych typów plików, które są automatycznie przetwarzane w jego środowisku. Może to prowadzić do wykonania złośliwego kodu lub innych ataków.

Description (EN)

The product allows the upload or transfer of dangerous file types that are automatically processed within its environment.

Podatności CVE z CWE-434 (4987)
10.0
CVSS
CRITICAL
CVE-2026-48276

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Unrestricted Upload of File with Dangerous Type vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

pub. 2026-06-30
10.0
CVSS
CRITICAL
CVE-2026-48283

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Unrestricted Upload of File with Dangerous Type vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

pub. 2026-06-30
10.0
CVSS
CRITICAL
CVE-2026-56290

Rozszerzenie Page Builder CK dla systemu Joomla zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przesłanie dowolnych plików wykonywalnych na serwer. Skutkiem jest uzyskanie pełnego zdalnego wykonania kodu (RCE) bez konieczności posiadania jakiegokolwiek konta w systemie.

pub. 2026-06-29
10.0
CVSS
CRITICAL
CVE-2026-57700

Wtyczka OMGF Pro dla WordPress w wersji do 5.2.6 zawiera krytyczną podatność typu unrestricted file upload (CWE-434), umożliwiającą przesyłanie złośliwych plików bez odpowiedniej weryfikacji. Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad serwerem bez żadnego uwierzytelnienia.

pub. 2026-06-25
10.0
CVSS
CRITICAL
CVE-2026-48908

Podatność w rozszerzeniu SP Page Builder dla Joomla umożliwia nieuwierzytelnionym użytkownikom przesyłanie dowolnych plików na serwer, co w konsekwencji prowadzi do wykonania złośliwego kodu PHP (RCE). Ocena CVSS 10.0 i aktywny exploit czynią tę podatność wyjątkowo niebezpieczną.

pub. 2026-06-20
10.0
CVSS
CRITICAL
CVE-2026-48939

A vulnerability in the iCagenda extension for Joomla allows the upload of arbitrary files in the file attachment feature, ultimately resulting in PHP code upload and execution.

pub. 2026-06-20
10.0
CVSS
CRITICAL
CVE-2026-40772

Wtyczka GeekyBot w wersjach do 1.2.2 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przesyłanie dowolnych plików na serwer. Ze względu na brak wymagania jakiegokolwiek uwierzytelnienia, podatność ta jest wyjątkowo łatwa do wykorzystania i może prowadzić do pełnego przejęcia kontroli nad serwerem.

pub. 2026-06-15
10.0
CVSS
CRITICAL
CVE-2026-40412

Podatność typu unrestricted file upload (CWE-434) w usłudze Azure Orbital Spatio umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu przez sieć. Maksymalny wynik CVSS 10.0 wskazuje na krytyczny poziom zagrożenia bez jakichkolwiek wymagań wstępnych po stronie napastnika.

pub. 2026-05-22
10.0
CVSS
CRITICAL
CVE-2026-45444

Krytyczna podatność w pluginie WordPress 'Gift Cards For WooCommerce Pro' (do wersji 4.2.6) umożliwia nieautoryzowanym użytkownikom przesyłanie plików niebezpiecznych typów na serwer. Błąd otrzymał maksymalny wynik CVSS 10.0, co wskazuje na możliwość pełnego przejęcia kontroli nad serwerem.

pub. 2026-05-20
10.0
CVSS
CRITICAL
CVE-2026-21628

Podatność w module zarządzania plikami frameworka Astroid (Templaza) umożliwia nieuwierzytelnionym użytkownikom przesyłanie niebezpiecznych typów plików, co prowadzi do zdalnego wykonania kodu (RCE). Luka otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie krytyczną.

pub. 2026-03-05
10.0
CVSS
CRITICAL
CVE-2026-2743

Krytyczna podatność w interfejsie webowym SeppMail umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) poprzez zapisanie dowolnego pliku w wybranej lokalizacji na serwerze. Zagrożone jest działanie funkcji przesyłania dużych plików (Large File Transfer, LFT).

pub. 2026-03-05
10.0
CVSS
CRITICAL
CVE-2026-28289

Podatność w FreeScout 1.8.206 i wcześniejszych pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do przesyłania plików na wykonanie dowolnego kodu na serwerze (RCE). Jest to bypass wcześniejszej poprawki dla CVE-2026-27636, umożliwiający obejście zabezpieczeń poprzez przesłanie złośliwego pliku .htaccess ze znakiem niewidocznej spacji jako prefiksem nazwy.

pub. 2026-03-03
10.0
CVSS
CRITICAL
CVE-2026-24729

W aplikacji Interinfo DreamMaker w wersjach przed 2025/10/22 istnieje możliwość przesyłania plików niebezpiecznego typu bez żadnych ograniczeń. Podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych, co czyni ją krytycznym zagrożeniem.

pub. 2026-01-30
10.0
CVSS
CRITICAL
CVE-2026-24897

Platforma Erugo do samodzielnego hostowania plików zawiera krytyczną podatność umożliwiającą uwierzytelnionemu użytkownikowi o niskich uprawnieniach wykonanie dowolnego kodu na serwerze. Błąd wynika z braku odpowiedniej walidacji ścieżek podanych przez użytkownika podczas tworzenia tzw. shares.

pub. 2026-01-28
10.0
CVSS
CRITICAL
CVE-2026-24815

Podatność krytyczna w platformie datavane TIS łączy dwa wektory ataku: nieograniczony upload plików niebezpiecznego typu (CWE-434) oraz deserializację niezaufanych danych (CWE-502). Możliwość zdalnego wykonania kodu bez uwierzytelnienia czyni ją wyjątkowo groźną dla każdej instalacji TIS przed wersją v4.3.0.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2025-50002

Motyw WordPress Energia (do wersji 1.1.2 włącznie) zawiera krytyczną podatność umożliwiającą nieautoryzowany upload dowolnego pliku na serwer, w tym złośliwego web shella. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją ekstremalnie niebezpieczną.

pub. 2026-01-22
10.0
CVSS
CRITICAL
CVE-2025-68001

Wtyczka g-FFL Checkout dla WordPress w wersjach do 2.1.0 włącznie umożliwia nieuwierzytelnionemu atakującemu przesłanie dowolnego pliku niebezpiecznego typu, w tym web shell. Jest to podatność krytyczna (CVSS 10.0), ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-01-22
10.0
CVSS
CRITICAL
CVE-2025-69828

W aplikacji TMS Management Console w wersji 6.3.7.27386.20250818 odkryto krytyczną podatność typu File Upload, umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu. Brak uwierzytelnienia i pełny zakres wpływu (C/I/A: High, Scope: Changed) czynią tę podatność wyjątkowo niebezpieczną.

pub. 2026-01-22
10.0
CVSS
CRITICAL
CVE-2025-52691

Krytyczna podatność w SmarterMail (SmarterTools) umożliwia nieuwierzytelnionemu atakującemu przesłanie dowolnych plików w dowolne miejsce na serwerze pocztowym, co może prowadzić do zdalnego wykonania kodu. Podatność jest aktywnie wykorzystywana na wolności i figuruje w katalogu CISA KEV.

pub. 2025-12-29🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2025-67288

W Umbraco CMS v16.3.3 odkryto podatność umożliwiającą przesłanie dowolnego pliku (CWE-434), która pozwala atakującemu wykonać arbitralny kod poprzez spreparowany plik PDF. Należy zaznaczyć, że producent (Umbraco) kwestionuje tę podatność, wskazując, że odpowiedzialność za walidację przesyłanych plików spoczywa na administratorze systemu wdrażającym CMS, a nie na samym produkcie.

pub. 2025-12-22
Pokazano 20 z 4987 podatności
Informacje
ID: CWE-434
Typ: Base
Podatności: 4987
MITRE CWE ↗
← Słownik CWE
CWE-434 — Nieograniczone przesyłanie plików niebezpiecznego typu | Słownik CWE | CVEbaza.pl