CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność w flask-boilerplate umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany. W związku z tym resetowanie hasła zależy od nagłówka Host w żądaniu HTTP.
Hashview w wersji 0.8.1 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.
Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.
Zdalny, nieautoryzowany atakujący może wykorzystać domyślne certyfikaty do generowania tokenów JWT, co pozwala na uzyskanie pełnego dostępu do narzędzia oraz wszystkich podłączonych urządzeń.
W wersjach 2.3 i 2.4 Nimesa Backup and Recovery występuje problem z wstrzykiwaniem poleceń systemowych. W przypadku wykorzystania tej podatności, na serwerze, na którym działa produkt, mogą być wykonywane dowolne polecenia systemowe.
Agent w Quest KACE Systems Management Appliance (SMA) przed wersją 14.0.97 oraz 14.1.x przed wersją 14.1.19 potencjalnie umożliwia eskalację uprawnień na zarządzanych systemach.
Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.
W podatności CVE-2025-52833 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie designthemes LMS. Problem ten dotyczy wersji LMS od n/a do 9.2 włącznie.
Podatność CVE-2025-52832 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce wpo-HR NGG Smart Image Search. Problem ten dotyczy wersji od n/a do 3.4.1 włącznie.
W podatności CVE-2025-52831 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w menedżerze list wideo Video List Manager w wersjach od n/a do 1.7.
W bSecure – Your Universal Checkout występuje podatność na SQL Injection, która pozwala na przeprowadzenie tzw. Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.7.9 włącznie.
W podatności CVE-2025-49867 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.4.0.
Podatność CVE-2025-49417 dotyczy deserializacji niezaufanych danych w wtyczce WooCommerce Product Multi-Action, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.3 włącznie.
Podatność CVE-2025-49414 w FW Gallery firmy Fastw3b LLC umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji FW Gallery od n/a do 8.0.0 włącznie.
Podatność CVE-2025-49302 dotyczy niewłaściwej kontroli generowania kodu w Easy Stripe, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji Easy Stripe od n/a do 1.1 włącznie.
Podatność CVE-2025-30933 w LiquidThemes LogisticsHub umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji LogisticsHub od n/a do 1.1.6 włącznie.
Podatność CVE-2025-28983 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości eskalacji uprawnień w ClickandPledge Click & Pledge Connect. Problem ten dotyczy wersji od 25.04010101 do WP6.8.
Podatność związana z nieprawidłowym przypisaniem uprawnień w usłudze aonetheme Service Finder Booking sf-booking umożliwia eskalację uprawnień. Problem ten dotyczy wersji Service Finder Booking od n/a do 6.1 włącznie.
Podatność CVE-2025-28951 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.
Podatność CVE-2025-23968 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki WebFactory AiBud WP, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji AiBud WP od n/a do 1.9 włącznie.

