Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W podatności CVE-2026-25371 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji King-Theme Lumise Product Designer. Problem dotyczy wersji Lumise Product Designer od n/a do poniżej 2.0.9.
Podatność CVE-2026-25366 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Woody ad snippets, co pozwala na wstrzykiwanie kodu. Problem ten występuje w wersjach od n/a do 2.7.1.
Podatność w SimpLy Gallery pozwala na niewłaściwe walidowanie określonej ilości wprowadzonych danych, co umożliwia dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji od n/a do 3.3.2 włącznie.
W podatności CVE-2026-25340 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce NooTheme Jobmonster w wersjach poniżej 4.8.4.
W podatności CVE-2026-25035 występuje możliwość ominięcia uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału w aplikacji Contest Gallery. Problem ten dotyczy wersji od n/a do 28.1.2.2 włącznie.
Podatność CVE-2026-25032 dotyczy deserializacji niezaufanych danych w aplikacji park_of_ideas Ricky, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Ricky od n/a do poniżej 2.31.
Podatność na deserializację niezaufanych danych w Tasty Daily pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Tasty Daily od n/a do poniżej 1.27.
Podatność na deserializację niezaufanych danych w Goldish pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Goldish od n/a do poniżej 3.47.
Podatność CVE-2026-25029 dotyczy deserializacji niezaufanych danych w systemie park_of_ideas KIDZ, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji KIDZ od n/a do 5.24 włącznie.
W podatności CVE-2026-24993 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WPFactory Advanced WooCommerce Product Sales Reporting. Problem dotyczy wersji od n/a do 4.1.3 włącznie.
Podatność na deserializację niezaufanych danych w wtyczce FantasticPlugins SUMO Affiliates Pro umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SUMO Affiliates Pro od n/a do poniżej 11.4.0.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Elated-Themes Search & Go umożliwia eskalację uprawnień. Problem dotyczy wersji Search & Go od n/a do 2.8 włącznie.
W podatności CVE-2026-24968 występuje nieprawidłowe przypisanie uprawnień w Xagio SEO, co umożliwia eskalację uprawnień. Problem dotyczy wersji Xagio SEO od n/a do 7.1.0.30.
Podatność CVE-2026-24378 dotyczy deserializacji niezaufanych danych w Metagauss EventPrime, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji EventPrime od n/a do 4.2.8.0 włącznie.
Podatność CVE-2026-22507 dotyczy deserializacji niezaufanych danych w motywie Beelove od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Beelove od n/a do 1.2.6.
Podatność na deserializację niezaufanych danych w m2 | Construction and Tools Store m2-ce umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji m2 | Construction and Tools Store od n/a do 1.1.2 włącznie.
W podatności CVE-2026-22484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Lisfinity Core. Problem ten dotyczy wersji Lisfinity Core od n/a do 1.5.0 włącznie.
thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.
node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.
Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.

