CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W Gardenerze, który automatyzuje zarządzanie klastrami Kubernetes, odkryto podatność przed wersjami 1.116.4, 1.117.5, 1.118.2 i 1.119.0. Użytkownik z uprawnieniami administracyjnymi do projektu Gardener mógł uzyskać kontrolę nad klastrami seed, w których zarządzane są klastry shoot.
W podatności CVE-2025-39445 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem ten dotyczy wersji wtyczki od n/a do 7.2 włącznie.
Podatność CVE-2025-39410 dotyczy deserializacji niezaufanych danych w dodatku Smart Sections Theme Builder dla WPBakery Page Builder. Problem ten występuje w wersjach od n/a do 1.7.8.
W podatności CVE-2025-39406 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku PHP w systemie mojoomla WPAMS do zarządzania mieszkaniami. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie.
Podatność CVE-2025-47582 dotyczy deserializacji niezaufanych danych w wtyczce WPBot Pro dla WordPressa, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPBot Pro od n/a do 12.7.0.
W systemie zarządzania zewnętrznymi wpisami DNS Gardener przed wersją 0.23.6 odkryto podatność, która może umożliwić użytkownikowi z uprawnieniami administracyjnymi do projektu Gardener lub klastra shoot przejęcie kontroli nad klastrem seed, w którym zarządzany jest klaster shoot. Podatność ta dotyczy wszystkich instalacji Gardener, niezależnie od używanego dostawcy chmury publicznej.
Podatność CVE-2025-26892 w dkszone Celestial Aura umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Celestial Aura od n/a do 2.2.
Podatność CVE-2025-26872 w dkszone Eximius umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Eximius od n/a do 2.2.
Pgpool-II dostarczany przez PgPool Global Development Group zawiera podatność na obejście uwierzytelniania z powodu podstawowej słabości. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do systemu jako dowolny użytkownik, co pozwala na odczyt lub modyfikację danych w bazie danych oraz/lub dezaktywację bazy danych.
W kamerach UniFi Protect (wersja 4.75.43 i wcześniejsze) występuje podatność na przepełnienie bufora w stercie, która może być wykorzystana przez złośliwego aktora z dostępem do sieci zarządzającej do zdalnego wykonania kodu (RCE).
Atakujący mógł wykonać odczyt lub zapis poza zakresem na obiekcie `Promise` w JavaScript. Ta podatność została naprawiona w wersjach Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1, Thunderbird 128.10.2 oraz Thunderbird 138.0.2.
Wtyczka Echo RSS Feed Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji echo_generate_featured_image() we wszystkich wersjach do 5.4.8.1 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka Crawlomatic Multipage Scraper Post Generator dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji crawlomatic_generate_featured_image() we wszystkich wersjach do i włącznie z 2.6.8.1. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wersje BSON::XS do 0.8.4 dla Perla zawierają zintegrowaną bibliotekę libbson 1.1.7, która ma kilka podatności. Wśród nich znajdują się CVE-2017-14227, CVE-2018-16790, CVE-2023-0437, CVE-2024-6381, CVE-2024-6383 oraz CVE-2025-0755.
Podatność CVE-2025-39481 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Eventer. Problem ten dotyczy wersji Eventer od n/a do poniżej 3.11.4.
W podatności CVE-2025-32643 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji mojoomla WPGYM. Problem ten dotyczy wersji WPGYM od n/a do 65.0.
Auth0-PHP to PHP SDK dla API uwierzytelniania i zarządzania Auth0. W wersjach od 8.0.0-BETA1 do przed 8.14.0, ciasteczka sesyjne aplikacji korzystających z Auth0-PHP SDK skonfigurowanych z CookieStore mają tagi uwierzytelniające, które mogą być łamane metodą brute force, co może prowadzić do nieautoryzowanego dostępu.
Spotipy to biblioteka Pythona dla Spotify Web API. W wyniku użycia `pull_request_target` w pliku `.github/workflows/integration_tests.yml` oraz sprawdzenia head.sha z forka PR, atakujący mogą wykonać nieufny kod, uzyskując pełny dostęp do sekretów z repozytorium bazowego, w tym `GITHUB_TOKEN` oraz `SPOTIPY_CLIENT_ID`, `SPOTIPY_CLIENT_SECRET`.
Wtyczka TicketBAI Facturas dla WooCommerce w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w akcji 'delpdf' we wszystkich wersjach do 3.18 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.
W firmware dysku sieciowego I-O DATA 'HDL-T Series' w wersji 1.21 i wcześniejszych, przy włączonej funkcji 'Remote Link3', występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe.

