CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność CVE-2025-52832 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce wpo-HR NGG Smart Image Search. Problem ten dotyczy wersji od n/a do 3.4.1 włącznie.
W podatności CVE-2025-52831 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w menedżerze list wideo Video List Manager w wersjach od n/a do 1.7.
W bSecure – Your Universal Checkout występuje podatność na SQL Injection, która pozwala na przeprowadzenie tzw. Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.7.9 włącznie.
W podatności CVE-2025-49867 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.4.0.
Podatność CVE-2025-49417 dotyczy deserializacji niezaufanych danych w wtyczce WooCommerce Product Multi-Action, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.3 włącznie.
Podatność CVE-2025-49414 w FW Gallery firmy Fastw3b LLC umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji FW Gallery od n/a do 8.0.0 włącznie.
Podatność CVE-2025-49302 dotyczy niewłaściwej kontroli generowania kodu w Easy Stripe, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji Easy Stripe od n/a do 1.1 włącznie.
Podatność CVE-2025-30933 w LiquidThemes LogisticsHub umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji LogisticsHub od n/a do 1.1.6 włącznie.
Podatność CVE-2025-28983 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości eskalacji uprawnień w ClickandPledge Click & Pledge Connect. Problem ten dotyczy wersji od 25.04010101 do WP6.8.
Podatność związana z nieprawidłowym przypisaniem uprawnień w usłudze aonetheme Service Finder Booking sf-booking umożliwia eskalację uprawnień. Problem ten dotyczy wersji Service Finder Booking od n/a do 6.1 włącznie.
Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.
Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.
Motyw edukacyjny dla WordPressa jest podatny na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 3.6.10 poprzez deserializację nieufnych danych wejściowych w funkcji 'themerex_callback_view_more_posts'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektu PHP.
Wtyczka Drag and Drop Multiple File Upload (Pro) dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji dnd_upload_cf7_upload_chunks(). Dotyczy to wersji 5.0 - 5.0.5 (w połączeniu z motywem PrintSpace) oraz wszystkich wersji do 1.7.1 w wersji samodzielnej.
Linjiashop w wersji 0.9 i wcześniejszych jest podatny na błędne zarządzanie dostępem. W przypadku użycia domyślnie generowanej autoryzacji JWT, atakujący mogą obejść proces uwierzytelniania i uzyskać zaszyfrowane 'hasło' oraz 'sól'.
W podatności CVE-2025-45006 występuje niewłaściwe zachowanie bitu mstatus.SUM w otwartoźródłowym procesorze RISC-V, co narusza ograniczenia specyfikacji dla trybu uprzywilejowanego. Może to umożliwić ataki na fizyczny dostęp do pamięci.
W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.
Podatność CVE-2025-49029 dotyczy widgetu Custom Login And Signup Widget w wersjach od n/a do 1.0, który pozwala na wstrzykiwanie kodu. Problem ten wynika z niewłaściwej kontroli generowania kodu.
Podatność CVE-2025-41656 pozwala nieautoryzowanemu zdalnemu atakującemu na wykonywanie dowolnych poleceń na podatnych urządzeniach z wysokimi uprawnieniami, ponieważ uwierzytelnienie serwera Node_RED nie jest domyślnie skonfigurowane.
Nieautoryzowany zdalny atakujący może obejść logowanie do aplikacji webowej dotkniętych urządzeń, co umożliwia dostęp do wszystkich dostępnych ustawień IndustrialPI oraz ich zmianę.

