CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W podatności CVE-2025-31599 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w N-Media Bulk Product Sync w wersjach od n/a do 8.6.
W podatności CVE-2025-31565 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WPSmartContracts w wersjach od n/a do 2.0.12.
W ConnMan do wersji 1.44, ciąg wyszukiwania w ns_resolv w dnsproxy.c może być NULL lub pustym ciągiem, gdy bit TC (Truncated) jest ustawiony w odpowiedzi DNS. To umożliwia atakującym spowodowanie awarii aplikacji (denial of service) lub potencjalne wykonanie dowolnego kodu, ponieważ te wartości wyszukiwania prowadzą do błędnych obliczeń długości i niepoprawnych operacji memcpy.
Podatność CVE-2025-32206 umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie w projekcie LABCAT Processing Projects, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Dotyczy to wersji Processing Projects od n/a do 1.0.2 włącznie.
Podatność CVE-2025-32202 dotyczy wtyczki 'Insert or Embed Articulate Content into WordPress', która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
Podatność CVE-2025-32140 dotyczy wtyczki WP Remote Thumbnail, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.
W podatności CVE-2025-32695 występuje nieprawidłowe przypisanie uprawnień w wtyczce Mestres do WP Checkout, co umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 8.7.5.
W aplikacji Vite Coupon występuje podatność typu Cross-Site Request Forgery (CSRF), która umożliwia zdalne włączenie kodu. Problem ten dotyczy wersji Vite Coupon od n/a do 1.0.9 włącznie.
Podatność typu Cross-Site Request Forgery (CSRF) w Anant Addons dla Elementor umożliwia atak CSRF. Problem ten dotyczy wersji Anant Addons dla Elementor od n/a do 1.1.8 włącznie.
W podatności CVE-2025-32576 występuje luka typu Cross-Site Request Forgery (CSRF) w wtyczce WP shop dla Agence web Eoxia - Montpellier, która umożliwia przesyłanie powłok sieciowych na serwer WWW. Problem dotyczy wersji WP shop od n/a do 2.6.1.
Podatność typu Cross-Site Request Forgery (CSRF) w Uncodethemes Ultra Demo Importer (wersje od n/a do 1.0.5) umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy funkcji importu demo w tym wtyczce.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Buddypress Humanity pozwala na przeprowadzenie ataków CSRF. Problem dotyczy wersji Buddypress Humanity od n/a do 1.2 włącznie.
Podatność CVE-2025-31002 w Squeeze pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Squeeze od n/a do 1.6 włącznie.
W urządzeniach Wi-Fi AP UNIT 'AC-WPS-11ac series' występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, zdalny atakujący, który ma dostęp do logowania, może wykonać dowolne polecenie systemowe.
Wersja Tiki przed 28.3 zawiera podatność w wikiplugin_includetpl, która niewłaściwie obsługuje dane wejściowe przekazywane do funkcji eval. Problem został naprawiony w wersjach 21.12, 24.8, 27.2 oraz 28.3.
The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.
Zidentyfikowano podatność w zestawie narzędzi Industrial Edge Device Kit dla architektur arm64 i x86-64 w różnych wersjach. Wersje przed V1.20.2-1 dla arm64 oraz przed V1.21.1-1 dla x86-64 są szczególnie narażone.
SAP Landscape Transformation (SLT) umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.
SAP Financial Consolidation umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do konta administratora. Podatność wynika z niewłaściwych mechanizmów uwierzytelniania, co ma duży wpływ na poufność, integralność i dostępność aplikacji.
SAP S/4HANA umożliwia atakującemu z uprawnieniami użytkownika wykorzystanie podatności w module funkcji udostępnionym przez RFC. Ta luka pozwala na wstrzyknięcie dowolnego kodu ABAP do systemu, omijając istotne kontrole autoryzacji.

