CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-60245
Critical

Podatność na deserializację nieufnych danych w WP User Manager umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WP User Manager od n/a do 2.9.12 włącznie.

CVE-2025-60243
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Holest Engineering Selling Commander dla WooCommerce umożliwia eskalację uprawnień. Problem ten dotyczy wersji Selling Commander dla WooCommerce od n/a do 1.2.46 włącznie.

CVE-2025-60235
Critical

Podatność CVE-2025-60235 dotyczy systemu wsparcia biletowego Plugify dla WooCommerce, umożliwiając nieograniczone przesyłanie plików z niebezpiecznymi typami. Problem ten występuje w wersjach od n/a do 2.0.7.

CVE-2025-60207
Critical

Podatność CVE-2025-60207 dotyczy wtyczki Addify Custom User Registration Fields dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2025-60195
Critical

W podatności CVE-2025-60195 występuje nieprawidłowe przypisanie uprawnień w Atarim, co umożliwia eskalację uprawnień. Problem dotyczy wersji Atarim od n/a do 4.2.1 włącznie.

CVE-2025-58998
Critical

Podatność na deserializację niezaufanych danych w wtyczce s2Member autorstwa Cristiána Lávaque umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji s2Member od n/a do 250701 włącznie.

CVE-2025-58996
Critical

Podatność CVE-2025-58996 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w Helmut Wandl Advanced Settings, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Advanced Settings od n/a do 3.1.1 włącznie.

CVE-2025-58636
Critical

Podatność CVE-2025-58636 dotyczy deserializacji niezaufanych danych w wtyczce CRM Perks WP Gravity Forms Keap/Infusionsoft gf-infusionsoft, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WP Gravity Forms Keap/Infusionsoft od n/a do 1.2.3 włącznie.

CVE-2025-58627
Critical

Podatność CVE-2025-58627 dotyczy wtyczki Miraculous Core Plugin, która pozwala na obejście autoryzacji poprzez kontrolowany przez użytkownika klucz. Problem wynika z nieprawidłowo skonfigurowanych poziomów zabezpieczeń dostępu i dotyczy wersji od n/a do poniżej 2.0.9.

CVE-2025-53283
Critical

Podatność CVE-2025-53283 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Drop Uploader dla CF7 - Drag&Drop File Uploader Addon. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2025-53242
Critical

Podatność na deserializację niezaufanych danych w VictorThemes Seil umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Seil od n/a do 1.7.1 włącznie.

CVE-2025-52773
Critical

Podatność CVE-2025-52773 dotyczy wtyczki HieCOR Payment Gateway, która umożliwia atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach od n/a do 1.5.11 włącznie.

CVE-2025-49393
Critical

Podatność CVE-2025-49393 dotyczy deserializacji niezaufanych danych w aplikacji Fetch Designs Sign-up Sheets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Sign-up Sheets od n/a do 2.3.2 włącznie.

CVE-2025-49372
Critical

W podatności CVE-2025-49372 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w systemie wsparcia biletowego HAPPY od VillaTheme, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji HAPPY od n/a do 1.0.7.

CVE-2025-48089
Critical

W podatności CVE-2025-48089 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w motywie WordPress Education | HiStudy. Problem dotyczy wersji motywu od n/a do poniżej 3.1.0.

CVE-2025-47588
Critical

Podatność CVE-2025-47588 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Dynamic Pricing With Discount Rules dla WooCommerce, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 4.5.9 włącznie.

CVE-2025-32222
Critical

Podatność CVE-2025-32222 dotyczy niewłaściwej kontroli generowania kodu w wtyczce Widget Logic, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji Widget Logic od n/a do 6.0.5 włącznie.

CVE-2025-56231
Critical

Tonec Internet Download Manager 6.42.41.1 and earlier fails to validate SSL certificates, allowing attackers to bypass update protections.

CVE-2025-55108
Critical

Control-M/Agent jest podatny na zdalne wykonanie kodu bez uwierzytelnienia, nieautoryzowany odczyt i zapis plików oraz podobne działania, gdy mutualne uwierzytelnianie SSL/TLS nie jest włączone (tj. w domyślnej konfiguracji).

CVE-2025-12674
Critical

Wtyczka KiotViet Sync dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji create_media() we wszystkich wersjach do i włącznie z 1.8.5. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

PreviousPage 207 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS