CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Podatność CVE-2025-60221 dotyczy deserializacji niezaufanych danych w Captivate Sync, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach Captivate Sync od n/a do 3.0.3.
W podatności CVE-2025-60220 występuje nieprawidłowe przypisanie uprawnień w systemie CouponXxL, co umożliwia eskalację uprawnień. Problem dotyczy wersji CouponXxL od n/a do 3.0.0 włącznie.
Podatność CVE-2025-60216 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes Addison, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Addison od n/a do poniżej 1.4.8.
Podatność CVE-2025-60214 dotyczy deserializacji niezaufanych danych w wtyczce BoldThemes Goldenblatt, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Goldenblatt od n/a do poniżej 1.3.0.
Podatność CVE-2025-60213 dotyczy deserializacji niezaufanych danych w Whitebox-Studio Scape, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Scape od n/a do 1.5.13 włącznie.
Podatność CVE-2025-60209 dotyczy deserializacji niezaufanych danych w wtyczce CRM Perks Connector dla Gravity Forms i Google Sheets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.2.6.
W podatności CVE-2025-60206 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w Beplusthemes Alone. Problem ten dotyczy wersji Alone od n/a do 7.8.3 włącznie.
Podatność na deserializację niezaufanych danych w Noisa rascals umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Noisa od n/a do 2.6.0.
W podatności CVE-2025-59557 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w dodatkach Learts Addons. Problem ten dotyczy wersji Learts Addons od n/a do poniżej 1.7.5.
Podatność CVE-2025-59007 dotyczy deserializacji niezaufanych danych w dodatku TF Woo Product Grid dla Elementora, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach dodatku od n/a do 1.0.1.
Podatność CVE-2025-58963 w 7oroof Medcity umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Medcity od n/a do poniżej 1.1.9.
Podatność CVE-2025-52758 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w aplikacji Zippy firmy Gesundheit Bewegt GmbH. Umożliwia to przesyłanie złośliwych plików, co może prowadzić do poważnych zagrożeń bezpieczeństwa.
Podatność CVE-2025-49931 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w Crocoblock JetSearch, co pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem ten dotyczy wersji JetSearch od n/a do 3.5.10 włącznie.
Podatność CVE-2025-49915 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia kodu SQL w aplikacji Cozy Vision SMS Alert Order Notifications w wersjach od n/a do 3.8.5. Wykorzystanie tej luki może umożliwić atakującym manipulację bazą danych.
Podatność CVE-2025-49901 dotyczy mechanizmu uwierzytelniania w Simple Link Directory w quantumcloud, który pozwala na obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Simple Link Directory od n/a do poniżej 14.8.1.
Podatność CVE-2025-49380 dotyczy deserializacji niezaufanych danych w wtyczce wpinstinct WooCommerce Vehicle Parts Finder, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.
Podatność CVE-2025-49060 w CMSSuperHeroes Wastia umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Wastia od n/a do poniżej 1.1.3.
Podatność CVE-2025-48106 w CMSSuperHeroes Clanora umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Clanora od n/a do poniżej 1.3.1.
TM2 Monitoring v3.04 contains an authentication bypass and plaintext credential disclosure vulnerability.
Metoda SOAP importFile jest podatna na atak typu traversal katalogu. Nieautoryzowany zdalny atakujący może obejść ograniczenia ścieżki i przesyłać pliki do dowolnych lokalizacji.

