CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce sh1zen WP Optimizer wp-optimizer umożliwia wykonanie ataku SQL Injection. Problem ten dotyczy wersji WP Optimizer od n/a do 2.5.0 włącznie.
Podatność CVE-2025-53260 dotyczy wtyczki File Manager dla WordPressa, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
W podatności CVE-2025-52834 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Homey w wersjach od n/a do 2.4.7.
W podatności CVE-2025-52829 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce DirectIQ Email Marketing. Problem ten dotyczy wersji od n/a do 2.0 włącznie.
Podatność CVE-2025-52725 dotyczy deserializacji niezaufanych danych w systemie CouponXxL, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CouponXxL od n/a do 3.0.0 włącznie.
Podatność CVE-2025-52724 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes Amwerk, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Amwerk od n/a do 1.2.0 włącznie.
W podatności CVE-2025-52722 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w klasie Classiera. Problem dotyczy wersji Classiera od n/a do 4.0.34 włącznie.
W podatności CVE-2025-52717 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce LifterLMS. Problem ten dotyczy wersji LifterLMS od n/a do 8.0.6.
Podatność CVE-2025-49885 dotyczy wtyczki HaruTheme Drag and Drop Multiple File Upload (Pro) dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
Podatność CVE-2025-39474 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w ThemeMove Amely. Problem ten dotyczy wersji Amely od n/a do 3.1.4 włącznie.
Podatność CVE-2025-28970 dotyczy deserializacji niezaufanych danych w wtyczce WP Optimize By xTraffic, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 5.1.6 włącznie.
Wtyczka GG Bought Together dla WooCommerce zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji od n/a do 1.0.2.
Motyw DWT - Directory & Listing dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.3.6 włącznie. Problem wynika z braku odpowiedniego sprawdzenia pustej wartości tokena przed zresetowaniem hasła użytkownika w funkcji dwt_listing_reset_password().
W podatności typu 'Brak uwierzytelnienia dla krytycznej funkcji' w produktach Mitsubishi Electric Corporation, atakujący zdalny i nieautoryzowany może obejść proces uwierzytelniania, co pozwala na nielegalne kontrolowanie systemów klimatyzacyjnych lub ujawnianie informacji w nich zawartych. Dodatkowo, atakujący może manipulować oprogramowaniem układowym tych urządzeń.
Serwer Northern.tech Mender w wersjach przed 3.7.11 oraz 4.x przed 4.0.1 ma błędną kontrolę dostępu. To może prowadzić do nieautoryzowanego dostępu do zasobów systemowych.
Niektóre modele hybrydowych rejestratorów wideo (HBF-09KD i HBF-16NK) firmy Hunt Electronic mają podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu oraz pozyskać hasła administratora w postaci niezaszyfrowanej.
Wtyczka Simple User Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 6.3 włącznie. Problem wynika z niewystarczających ograniczeń dotyczących wartości meta użytkownika, które mogą być podawane podczas rejestracji.
Nieautoryzowany atakujący, znający numer seryjny docelowego urządzenia, może wygenerować domyślne hasło administratora dla tego urządzenia. Atakujący może najpierw odkryć numer seryjny urządzenia za pomocą CVE-2024-51977 przez HTTP/HTTPS/IPP, lub za pomocą żądania PJL, lub przez żądanie SNMP.
Hikka, użytkownik bota Telegram, ma podatność, która dotyczy wszystkich użytkowników we wszystkich wersjach. Istnieją dwa scenariusze: brak uwierzytelnionej sesji w interfejsie webowym, co pozwala atakującemu na zdalne wykonanie kodu (RCE), oraz uwierzytelniona sesja, gdzie użytkownicy mogą przypadkowo zezwolić atakującemu na dostęp do swoich kont Telegram.
Hikka to bot użytkownika Telegram. Podatność dotyczy wszystkich użytkowników wersji poniżej 1.6.2, w tym większości forków, i pozwala nieautoryzowanemu atakującemu uzyskać dostęp do konta Telegram ofiary oraz pełny dostęp do serwera. Problem został naprawiony w wersji 1.6.2.

