CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Gitea does not properly validate project ownership in organization project operations. A user with project write access in one organization may be able to modify projects belonging to a different organization.
An issue was discovered in the InsertFromURL() function of the Apryse HTML2PDF SDK through version 11.10, which could allow an attacker to execute arbitrary operating system commands on the local server.
W podatności CVE-2025-69828 w TMS Global Software TMS Management Console w wersji 6.3.7.27386.20250818 występuje luka związana z przesyłaniem plików. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez przesłanie logo w sekcji /Customer/AddEdit.
Podatność CVE-2025-69312 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Xpro Elementor Addons, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.4.19.1.
Podatność CVE-2025-69101 dotyczy systemu AmentoTech Workreap Core, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 3.4.1 włącznie.
Podatność CVE-2025-69079 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Sound | Sklep Muzyczny Online, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.6.9 włącznie.
Wtyczka FmeAddons do rejestracji i logowania za pomocą numeru telefonu komórkowego dla WooCommerce ma lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji od n/a do 1.3.1.
Podatność CVE-2025-68986 w Miion od zozothemes pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Miion od n/a do 1.2.7 włącznie.
Podatność CVE-2025-68910 w Blogzee pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji Blogzee od n/a do 1.0.5.
Podatność CVE-2025-68909 w motywie Blogistic pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Dotyczy to wersji Blogistic od n/a do 1.0.5.
W podatności CVE-2025-68869 występuje nieprawidłowe przypisanie uprawnień w projekcie zarządzania zadaniami LazyTasks od LazyCoders LLC, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 1.2.37 włącznie.
W podatności CVE-2025-68857 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Paid Downloads w wersjach od n/a do 3.15.
W podatności CVE-2025-68034 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji CleverReach® WP od n/a do 1.5.21.
W StackWC Order Listener dla WooCommerce występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Order Listener dla WooCommerce od n/a do 3.6.1.
W podatności CVE-2025-68015 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w aplikacji Vollstart Event Tickets z funkcją skanera biletów. Problem ten dotyczy wersji Event Tickets z funkcją skanera biletów od n/a do 2.8.5 włącznie.
Podatność CVE-2025-68001 dotyczy g-FFL Checkout, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji g-FFL Checkout od n/a do 2.1.0 włącznie.
Podatność CVE-2025-67968 dotyczy systemu Real Homes CRM, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. W wyniku tego, złośliwe pliki mogą być wykorzystane w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-67945 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w integracji MailerLite z WooCommerce. Problem ten dotyczy wersji od n/a do 3.1.2.
W podatności CVE-2025-67944 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.1.8. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.
Podatność CVE-2025-67617 dotyczy deserializacji niezaufanych danych w aplikacji Consult Aid, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Consult Aid od n/a do 1.4.3 włącznie.

