CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Podatność CVE-2025-49931 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w Crocoblock JetSearch, co pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem ten dotyczy wersji JetSearch od n/a do 3.5.10 włącznie.
Podatność CVE-2025-49915 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia kodu SQL w aplikacji Cozy Vision SMS Alert Order Notifications w wersjach od n/a do 3.8.5. Wykorzystanie tej luki może umożliwić atakującym manipulację bazą danych.
Podatność CVE-2025-49901 dotyczy mechanizmu uwierzytelniania w Simple Link Directory w quantumcloud, który pozwala na obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Simple Link Directory od n/a do poniżej 14.8.1.
Podatność CVE-2025-49380 dotyczy deserializacji niezaufanych danych w wtyczce wpinstinct WooCommerce Vehicle Parts Finder, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.
Podatność CVE-2025-49060 w CMSSuperHeroes Wastia umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Wastia od n/a do poniżej 1.1.3.
Podatność CVE-2025-48106 w CMSSuperHeroes Clanora umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Clanora od n/a do poniżej 1.3.1.
TM2 Monitoring v3.04 contains an authentication bypass and plaintext credential disclosure vulnerability.
Metoda SOAP importFile jest podatna na atak typu traversal katalogu. Nieautoryzowany zdalny atakujący może obejść ograniczenia ścieżki i przesyłać pliki do dowolnych lokalizacji.
W interfejsie zarządzania opartym na sieci web urządzenia NETLINK HG322G V1.0.00-231017 występuje niewłaściwa autoryzacja, która umożliwia zdalnemu, nieautoryzowanemu atakującemu eskalację uprawnień oraz zablokowanie dostępu do konta prawowitego administratora za pomocą odpowiednio skonstruowanych żądań HTTP.
Nieautoryzowany atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może wykorzystać brak serwerowych kontroli uwierzytelniania, aby ominąć ekran logowania w konsoli WorkExaminer Professional i uzyskać dostęp administracyjny do serwera. To umożliwia dostęp do wszystkich wrażliwych danych monitorujących, w tym zrzutów ekranu i naciśnięć klawiszy wszystkich użytkowników.
Wtyczka FormGent dla WordPressa w wersjach przed 1.0.4 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Podatność w silniku analizy behawioralnej systemu Windows 10 pozwala na ominięcie detekcji próbek złośliwego oprogramowania poprzez ich rekurencyjne uruchamianie, co prowadzi do wyczerpania zasobów systemowych. W efekcie kluczowe złośliwe zachowania mogą nie być rejestrowane ani raportowane.
W podatności CVE-2025-9574 występuje brak uwierzytelnienia dla krytycznej funkcji w urządzeniach ABB ALS-mini-s4 IP oraz ABB ALS-mini-s8 IP. Problem ten dotyczy wszystkich wersji oprogramowania układowego z numerem seryjnym od 2000 do 5166.
W wersjach Dolby UDC od 4.5 do 4.13 odkryto problem, który może prowadzić do awarii procesu dekodera DD+ podczas przetwarzania źle sformatowanego strumienia bitowego DD+. Błąd w obliczeniach długości zapisu może spowodować przepełnienie, co skutkuje zbyt małym przydzielonym buforem i nieskuteczną kontrolą dostępu do pamięci.
W aplikacji Bhabishya-123 E-commerce w wersji 1.0 występuje podatność na atak typu SQL Injection w punkcie końcowym signup.inc.php. Aplikacja bezpośrednio włącza niesanitizowane dane wejściowe użytkowników do zapytań SQL, co pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia i uzyskanie pełnego dostępu.
System zarządzania dokumentami opracowany przez Excellent Infotek posiada podatność na nieautoryzowane przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.
Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W wersjach 0.3.1 i wcześniejszych frameworka pyquokka, klasa FlightServer używa funkcji pickle.loads() do deserializacji danych akcji otrzymywanych od klientów Flight bez jakiejkolwiek sanitizacji lub walidacji. To stwarza możliwość wykonania zdalnego kodu przez atakujących, gdy FlightServer jest skonfigurowany do nasłuchiwania na 0.0.0.0.
An arbitrary file upload vulnerability in SigningHub v8.6.8 allows attackers to execute arbitrary code via uploading a crafted PDF file.
An SSRF vulnerability in the Image Upload Gallery feature of ThingsBoard versions prior to 4.2.1 allows an attacker to upload a malicious SVG file referencing a remote URL. The server may process the SVG file and initiate unintended outbound requests to internal services or resources.

