Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Podatność CVE-2025-49444 dotyczy wtyczki Reformer dla Elementor, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-49330 dotyczy deserializacji niezaufanych danych w integracji CRM Perks dla Contact Form 7 i Zoho CRM, Bigin, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji integracji od n/a do 1.3.0 włącznie.
Podatność CVE-2025-49071 w motywie NasaTheme Flozen umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Flozen od n/a do poniżej 1.5.1.
Podatność CVE-2025-48274 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Job Portal w wersjach od n/a do 2.3.2.
W podatności CVE-2025-47573 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie zarządzania szkołą mojoomla. Problem dotyczy wersji od n/a do 92.0.0.
Podatność CVE-2025-47559 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do poniżej 8.7.4.
Podatność CVE-2025-47452 w wtyczce WP VR pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP VR od n/a do 8.5.26.
Podatność CVE-2025-39479 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Smart Notification. Problem ten dotyczy wersji Smart Notification od n/a do 10.3.
Podatność CVE-2025-32510 dotyczy Ovatheme Events Manager, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Wersje od n/a do 1.8.4 są narażone na wykorzystanie złośliwych plików.
Podatność na deserializację nieufnych danych w themeton Spare umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Spare od n/a do 1.7.
Podatność CVE-2025-30618 dotyczy deserializacji niezaufanych danych w rozszerzeniu Rapyd Payment dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji rozszerzenia od n/a do 1.2.0 włącznie.
W podatności CVE-2025-24773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce mojoomla WPCRM dla formularza kontaktowego CF7 oraz WooCommerce. Problem dotyczy wersji WPCRM od n/a do 3.2.0 włącznie.
W projekcie FreeIPA odkryto podatność umożliwiającą eskalację uprawnień z hosta do domeny. Brak walidacji unikalności atrybutu `krbCanonicalName` dla konta administratora pozwala na utworzenie usługi o tej samej nazwie kanonicznej co admin REALM. Udany atak umożliwia uzyskanie biletu Kerberosa z poświadczeniami admin@REALM.
W bibliotece libxml2 wykryto podatność polegającą na uszkodzeniu pamięci podczas przetwarzania określonych elementów sch:name z pliku XML. Atakujący może stworzyć złośliwy plik XML, który doprowadzi do awarii libxml, powodując odmowę usługi lub inne nieprzewidziane zachowania z powodu uszkodzenia wrażliwych danych w pamięci.
W bibliotece libxml2 odkryto podatność use-after-free podczas parsowania elementów XPath w określonych warunkach, gdy schemat XML zawiera elementy <sch:name path="..."/>. Błąd umożliwia atakującemu przygotowanie złośliwego dokumentu XML, który po przetworzeniu przez libxml może spowodować awarię programu lub inne nieprzewidziane zachowania.
Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.
W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.
Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
W routerze TOTOLINK N600R w wersji oprogramowania 4.3.0cu.7866_B2022506 wykryto podatność na przepełnienie bufora. Zdalny atakujący może wykorzystać komponent UPLOAD_FILENAME do wykonania dowolnego kodu.

