CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Brak uwierzytelnienia w funkcji rejestracji Lablup's BackendAI pozwala dowolnym użytkownikom na tworzenie kont użytkowników, które mogą uzyskiwać dostęp do prywatnych danych, nawet gdy rejestracja jest wyłączona.
Podatność CVE-2025-48281 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji MyStyle Custom Product Designer w wersjach od n/a do 3.21.1.
W podatności CVE-2025-48141 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Multi CryptoCurrency Payments. Problem dotyczy wersji od n/a do 2.0.7.
Podatność CVE-2025-48140 dotyczy MetalpriceAPI i polega na niewłaściwej kontroli generowania kodu, co umożliwia atak typu 'Code Injection'. Problem ten występuje w wersjach od n/a do 1.1.4 włącznie.
W podatności CVE-2025-48129 występuje nieprawidłowe przypisanie uprawnień w narzędziu Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.4.37 włącznie.
W podatności CVE-2025-48123 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light. Problem dotyczy wersji od n/a do 2.4.37 włącznie.
W podatności CVE-2025-48122 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Holest Engineering Spreadsheet Price Changer dla WooCommerce i WP E-commerce – Light. Problem dotyczy wersji od n/a do 2.4.37 włącznie.
W podatności CVE-2025-47608 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Recover abandoned cart for WooCommerce w wersjach od n/a do 2.5. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
Podatność CVE-2025-32291 dotyczy wtyczki SUMO Affiliates Pro, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do poniżej 11.1.0.
Podatność CVE-2025-31429 dotyczy deserializacji niezaufanych danych w motywie PressGrid - Frontend Publish Reaction & Multimedia, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.3.1.
Podatność CVE-2025-31424 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Lead Capturing Pages w wersjach poniżej 2.6.
Podatność na deserializację niezaufanych danych w themeton PIMP - Creative MultiPurpose umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji PIMP - Creative MultiPurpose od n/a do 1.7.
Podatność CVE-2025-31396 dotyczy deserializacji niezaufanych danych w motywie FLAP - Business WordPress, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji motywu od n/a do 1.5.
Podatność CVE-2025-31059 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce WBW Product Table PRO w wersjach od n/a do 2.2.6. Atakujący może wykorzystać tę lukę do manipulacji bazą danych.
Podatność CVE-2025-31052 dotyczy deserializacji niezaufanych danych w motywie The Fashion - Model Agency One Page Beauty Theme, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.4.4.
Podatność CVE-2025-31039 dotyczy niewłaściwego ograniczenia odniesienia do zewnętrznych jednostek XML w wtyczce Category Icon w wersjach od n/a do 1.0.3. Umożliwia to linkowanie jednostek XML, co może prowadzić do nieautoryzowanego dostępu do danych.
Podatność CVE-2025-31022 w PayU India umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten dotyczy wersji PayU India od n/a do poniżej 3.8.8.
W podatności CVE-2025-24767 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w wtyczce TicketBAI Facturas dla WooCommerce. Problem ten dotyczy wersji wtyczki od n/a do 3.19 włącznie.
W WilderForge zidentyfikowano krytyczną podatność w wielu projektach, wynikającą z niebezpiecznego użycia zmiennych kontrolowanych przez użytkownika w kontekście skryptów powłoki w GitHub Actions. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu, co prowadzi do wykonania dowolnych poleceń w kontekście uprawnień workflow.
System Zarządzania Inteligentnym Parkowaniem firmy Honding Technology ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do określonej strony i zdobyć hasła administratora w postaci niezaszyfrowanej.

