CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Spring Security Aspects mogą nieprawidłowo lokalizować adnotacje zabezpieczeń metod na prywatnych metodach, co może prowadzić do obejścia autoryzacji. Aplikacja jest narażona, jeśli używasz @EnableMethodSecurity(mode=ASPECTJ) oraz spring-security-aspects i masz adnotacje zabezpieczeń na prywatnych metodach.
Motyw Madara – responsywny i nowoczesny motyw WordPress dla stron manga jest podatny na Local File Inclusion we wszystkich wersjach do 2.2.2 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Niewłaściwe ograniczenie ścieżki pliku w aplikacjach do provisioningu obwodów i importu plików umożliwia modyfikację oraz przesyłanie plików. To może prowadzić do nieautoryzowanego dostępu do systemu.
Motors theme dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.6.67 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.
W podatności CVE-2025-48340 występuje atak typu Cross-Site Request Forgery (CSRF) w menedżerze profili użytkowników Danny Vink, co pozwala na eskalację uprawnień. Problem dotyczy wersji menedżera profili użytkowników od n/a do 1.02 włącznie.
Podatność CVE-2025-39402 w systemie mojoomla WPAMS umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie (17-08-2023).
Podatność CVE-2025-39401 w systemie mojoomla WPAMS umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie (17-08-2023).
W podatności CVE-2025-39395 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie mojoomla WPAMS do wersji 44.0. Problem ten dotyczy wszystkich wersji od n/a do 44.0 włącznie.
W podatności CVE-2025-39389 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Solid Plugins AnalyticsWP. Problem dotyczy wersji AnalyticsWP od n/a do 2.1.2.
W systemie zarządzania szpitalem mojoomla występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu od n/a do 47.0 włącznie.
W systemie zarządzania szpitalem mojoomla występuje podatność na nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji systemu zarządzania szpitalem od n/a do 47.0 włącznie.
Podatność na deserializację nieufnych danych w Chimpstudio Foodbakery Sticky Cart umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Foodbakery Sticky Cart od n/a do 3.2 włącznie.
Podatność na deserializację niezaufanych danych w ThemeGoods Grand Conference umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Grand Conference od n/a do 5.3 włącznie.
Podatność CVE-2025-39349 dotyczy deserializacji niezaufanych danych w CiyaShop, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CiyaShop od n/a do 4.18.0 włącznie.
Podatność CVE-2025-39348 dotyczy deserializacji niezaufanych danych w wtyczce Grand Restaurant, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Grand Restaurant od n/a do 7.0 włącznie.
Podatność na deserializację niezaufanych danych w ThemeGoods Altair umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Altair od n/a do 5.2.2 włącznie.
Podatność na deserializację niezaufanych danych w Chimpstudio FoodBakery wp-foodbakery umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji FoodBakery od n/a do 3.3 włącznie.
Podatność typu 'Path Traversal' w ThemeGoods Grand Restaurant umożliwia nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Problem ten dotyczy wersji Grand Restaurant od n/a do 7.0 włącznie.
Podatność CVE-2025-47581 dotyczy deserializacji niezaufanych danych w wtyczce elbisnero WordPress Events Calendar Registration & Tickets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 2.6.0 włącznie.
Podatność CVE-2025-47577 dotyczy wtyczki TI WooCommerce Wishlist, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

