CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność CVE-2026-27049 w NooTheme Jobica Core umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Jobica Core od n/a do 1.4.2 włącznie.
Podatność typu 'Code Injection' w TotalSuite Total Poll Lite umożliwia zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji Total Poll Lite od n/a do 4.12.0.
W podatności CVE-2026-25447 występuje niewłaściwa kontrola generowania kodu, co pozwala na wstrzyknięcie kodu w widgetach Widget Wrangler. Problem ten dotyczy wersji Widget Wrangler od n/a do 2.3.9 włącznie.
Podatność na deserializację niezaufanych danych w wpdive Nexa Blocks (wersje od n/a do 1.1.1) umożliwia wstrzyknięcie obiektów. Problem ten może prowadzić do nieautoryzowanego dostępu do systemu.
Podatność CVE-2026-25413 dotyczy WPBookit Pro w wersjach od n/a do 1.6.18, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. W wyniku tego, złośliwe pliki mogą być używane w systemie.
Wtyczka Addon Jobsearch Chat zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji od n/a do 3.0 włącznie.
W podatności CVE-2026-25371 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji King-Theme Lumise Product Designer. Problem dotyczy wersji Lumise Product Designer od n/a do poniżej 2.0.9.
Podatność CVE-2026-25366 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Woody ad snippets, co pozwala na wstrzykiwanie kodu. Problem ten występuje w wersjach od n/a do 2.7.1.
Podatność w SimpLy Gallery pozwala na niewłaściwe walidowanie określonej ilości wprowadzonych danych, co umożliwia dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji od n/a do 3.3.2 włącznie.
W podatności CVE-2026-25340 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce NooTheme Jobmonster w wersjach poniżej 4.8.4.
W podatności CVE-2026-25035 występuje możliwość ominięcia uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału w aplikacji Contest Gallery. Problem ten dotyczy wersji od n/a do 28.1.2.2 włącznie.
Podatność CVE-2026-25032 dotyczy deserializacji niezaufanych danych w aplikacji park_of_ideas Ricky, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Ricky od n/a do poniżej 2.31.
Podatność na deserializację niezaufanych danych w Tasty Daily pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Tasty Daily od n/a do poniżej 1.27.
Podatność na deserializację niezaufanych danych w Goldish pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Goldish od n/a do poniżej 3.47.
Podatność CVE-2026-25029 dotyczy deserializacji niezaufanych danych w systemie park_of_ideas KIDZ, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji KIDZ od n/a do 5.24 włącznie.
W podatności CVE-2026-24993 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WPFactory Advanced WooCommerce Product Sales Reporting. Problem dotyczy wersji od n/a do 4.1.3 włącznie.
Podatność na deserializację niezaufanych danych w wtyczce FantasticPlugins SUMO Affiliates Pro umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SUMO Affiliates Pro od n/a do poniżej 11.4.0.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Elated-Themes Search & Go umożliwia eskalację uprawnień. Problem dotyczy wersji Search & Go od n/a do 2.8 włącznie.
W podatności CVE-2026-24968 występuje nieprawidłowe przypisanie uprawnień w Xagio SEO, co umożliwia eskalację uprawnień. Problem dotyczy wersji Xagio SEO od n/a do 7.1.0.30.
Podatność CVE-2026-24378 dotyczy deserializacji niezaufanych danych w Metagauss EventPrime, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji EventPrime od n/a do 4.2.8.0 włącznie.

