Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność w Gitea umożliwia użytkownikowi z prawem zapisu do repozytorium usunięcie blokad LFS należących do innych repozytoriów. Problem wynika z nieprawidłowej walidacji własności repozytorium podczas usuwania blokad Git LFS.
Gitea nieprawidłowo weryfikuje własność projektu w operacjach na projektach organizacji. Użytkownik z uprawnieniami do zapisu w projektach jednej organizacji może modyfikować projekty należące do innej organizacji.
W funkcji InsertFromURL() zestawu SDK Apryse HTML2PDF do wersji 11.10 wykryto podatność, która może pozwolić atakującemu na wykonanie dowolnych poleceń systemu operacyjnego na lokalnym serwerze.
W podatności CVE-2025-69828 w TMS Global Software TMS Management Console w wersji 6.3.7.27386.20250818 występuje luka związana z przesyłaniem plików. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez przesłanie logo w sekcji /Customer/AddEdit.
Podatność CVE-2025-69312 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Xpro Elementor Addons, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.4.19.1.
Podatność CVE-2025-69101 dotyczy systemu AmentoTech Workreap Core, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 3.4.1 włącznie.
Podatność CVE-2025-69079 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Sound | Sklep Muzyczny Online, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.6.9 włącznie.
Wtyczka FmeAddons do rejestracji i logowania za pomocą numeru telefonu komórkowego dla WooCommerce ma lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji od n/a do 1.3.1.
Podatność CVE-2025-68986 w Miion od zozothemes pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Miion od n/a do 1.2.7 włącznie.
Podatność CVE-2025-68910 w Blogzee pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji Blogzee od n/a do 1.0.5.
Podatność CVE-2025-68909 w motywie Blogistic pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Dotyczy to wersji Blogistic od n/a do 1.0.5.
W podatności CVE-2025-68869 występuje nieprawidłowe przypisanie uprawnień w projekcie zarządzania zadaniami LazyTasks od LazyCoders LLC, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 1.2.37 włącznie.
W podatności CVE-2025-68857 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Paid Downloads w wersjach od n/a do 3.15.
W podatności CVE-2025-68034 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji CleverReach® WP od n/a do 1.5.21.
W StackWC Order Listener dla WooCommerce występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Order Listener dla WooCommerce od n/a do 3.6.1.
W podatności CVE-2025-68015 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w aplikacji Vollstart Event Tickets z funkcją skanera biletów. Problem ten dotyczy wersji Event Tickets z funkcją skanera biletów od n/a do 2.8.5 włącznie.
Podatność CVE-2025-68001 dotyczy g-FFL Checkout, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji g-FFL Checkout od n/a do 2.1.0 włącznie.
Podatność CVE-2025-67968 dotyczy systemu Real Homes CRM, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. W wyniku tego, złośliwe pliki mogą być wykorzystane w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-67945 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w integracji MailerLite z WooCommerce. Problem ten dotyczy wersji od n/a do 3.1.2.
W podatności CVE-2025-67944 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.1.8. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.

