CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W bSecure – Your Universal Checkout występuje podatność na SQL Injection, która pozwala na przeprowadzenie tzw. Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.7.9 włącznie.
W podatności CVE-2025-49867 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.4.0.
Podatność CVE-2025-49417 dotyczy deserializacji niezaufanych danych w wtyczce WooCommerce Product Multi-Action, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.3 włącznie.
Podatność CVE-2025-49414 w FW Gallery firmy Fastw3b LLC umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji FW Gallery od n/a do 8.0.0 włącznie.
Podatność CVE-2025-49302 dotyczy niewłaściwej kontroli generowania kodu w Easy Stripe, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji Easy Stripe od n/a do 1.1 włącznie.
Podatność CVE-2025-30933 w LiquidThemes LogisticsHub umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji LogisticsHub od n/a do 1.1.6 włącznie.
Podatność CVE-2025-28983 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości eskalacji uprawnień w ClickandPledge Click & Pledge Connect. Problem ten dotyczy wersji od 25.04010101 do WP6.8.
Podatność związana z nieprawidłowym przypisaniem uprawnień w usłudze aonetheme Service Finder Booking sf-booking umożliwia eskalację uprawnień. Problem ten dotyczy wersji Service Finder Booking od n/a do 6.1 włącznie.
Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.
Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.
Motyw edukacyjny dla WordPressa jest podatny na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 3.6.10 poprzez deserializację nieufnych danych wejściowych w funkcji 'themerex_callback_view_more_posts'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektu PHP.
Wtyczka Drag and Drop Multiple File Upload (Pro) dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji dnd_upload_cf7_upload_chunks(). Dotyczy to wersji 5.0 - 5.0.5 (w połączeniu z motywem PrintSpace) oraz wszystkich wersji do 1.7.1 w wersji samodzielnej.
Linjiashop w wersji 0.9 i wcześniejszych jest podatny na błędne zarządzanie dostępem. W przypadku użycia domyślnie generowanej autoryzacji JWT, atakujący mogą obejść proces uwierzytelniania i uzyskać zaszyfrowane 'hasło' oraz 'sól'.
W podatności CVE-2025-45006 występuje niewłaściwe zachowanie bitu mstatus.SUM w otwartoźródłowym procesorze RISC-V, co narusza ograniczenia specyfikacji dla trybu uprzywilejowanego. Może to umożliwić ataki na fizyczny dostęp do pamięci.
W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.
Podatność CVE-2025-49029 dotyczy widgetu Custom Login And Signup Widget w wersjach od n/a do 1.0, który pozwala na wstrzykiwanie kodu. Problem ten wynika z niewłaściwej kontroli generowania kodu.
Podatność CVE-2025-41656 pozwala nieautoryzowanemu zdalnemu atakującemu na wykonywanie dowolnych poleceń na podatnych urządzeniach z wysokimi uprawnieniami, ponieważ uwierzytelnienie serwera Node_RED nie jest domyślnie skonfigurowane.
Nieautoryzowany zdalny atakujący może obejść logowanie do aplikacji webowej dotkniętych urządzeń, co umożliwia dostęp do wszystkich dostępnych ustawień IndustrialPI oraz ich zmianę.
Wtyczka Opal Estate Pro – Zarządzanie Nieruchomościami i Zgłaszanie dla WordPressa, używana przez motyw FullHouse - Responsywny WordPress dla Nieruchomości, jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z braku ograniczeń ról podczas rejestracji w funkcji 'on_regiser_user'.
An issue in D-Link DIR-816-A2 with firmware DIR-816A2_FWv1.10CNB05_R1B011D88210 allows a remote attacker to execute arbitrary code via the system() function in the bin/goahead file.

