CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Wtyczka Icons Factory dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej autoryzacji oraz nieprawidłowej walidacji ścieżek w funkcji delete_files() we wszystkich wersjach do i włącznie z 1.6.12. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Wtyczka Bit Form builder dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku we wszystkich wersjach do 2.20.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.
W bibliotece libcoap występuje podatność typu use-after-free w funkcji coap_delete_pdu_lkd, która wynika z niewłaściwego zarządzania pamięcią po zwolnieniu obiektu PDU. Może to prowadzić do uszkodzenia pamięci lub wykonania dowolnego kodu.
Urządzenia KuWFi CPF908-CP5 WEB5.0_LCD_20210125 mają wiele podatności związanych z brakiem kontroli dostępu, które pozwalają na nieautoryzowany dostęp do funkcji goform/goform_set_cmd_process oraz goform/goform_get_cmd_process. Atakujący może uzyskać wrażliwe informacje, takie jak nazwa użytkownika i hasło administratora, zmieniać krytyczne ustawienia urządzenia oraz wysyłać dowolne wiadomości SMS.
W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.
Na urządzeniach KuWFi GC111 (Wersja sprzętowa: CPE-LM321_V3.2, Wersja oprogramowania: GC111-GL-LM321_V3.0_20191211) odkryto problem związany z niezautoryzowanymi żądaniami /goform/goform_set_cmd_process. Złośliwe żądanie POST, wykorzystujące parametr SSID, pozwala zdalnym atakującym na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota.
W podatności CVE-2025-54707 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce RealMag777 MDTF wp-meta-data-filter-and-taxonomy-filter. Problem dotyczy wersji MDTF od n/a do 1.3.3.7 włącznie.
Podatność CVE-2025-54693 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzu epiphyt Form Block, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Form Block od n/a do 1.5.5 włącznie.
Podatność CVE-2025-54686 dotyczy deserializacji niezaufanych danych w bibliotece scriptsbundle Exertio, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Exertio od n/a do 1.3.2 włącznie.
Podatność CVE-2025-54678 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w Easy Form Builder w wersjach od n/a do 3.8.15.
W podatności CVE-2025-54669 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji MapSVG. Problem dotyczy wersji MapSVG od n/a do poniżej 8.7.4.
W podatności CVE-2025-52720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem dotyczy wersji od n/a do 7.5 włącznie.
W podatności CVE-2025-49887 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w WPFactory Product XML Feed Manager dla WooCommerce. Problem dotyczy wersji od n/a do 2.9.3 włącznie.
W podatności CVE-2025-49059 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji od n/a do 1.5.20 włącznie.
Podatność CVE-2025-48293 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem ten dotyczy wersji Geo Mashup od n/a do 1.13.16 włącznie.
W podatności CVE-2025-25174 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku. Problem dotyczy rozszerzeń BeeTeam368 w wersjach od n/a do 1.9.4.
Podatność CVE-2025-24775 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Made I.T. Forms, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Forms od n/a do 2.9.0 włącznie.
Wtyczki WordPress 'disable-right-click-powered-by-pixterme' w wersji 1.2 oraz 'pixter-image-digital-license' w wersji 1.0 ładują skompromitowany plik JavaScript z porzuconego zasobnika S3. Plik ten może być użyty jako tylne drzwi przez osoby, które go kontrolują.
Podatność CVE-2025-55346 pozwala na wykorzystanie kontrolowanego przez użytkownika wejścia do niebezpiecznej implementacji dynamicznego konstruktora funkcji. Umożliwia to atakującym sieciowym uruchomienie dowolnego kodu JavaScript bez piaskownicy w kontekście hosta, poprzez wysłanie prostego żądania POST.
Sysax Multi Server versions prior to 5.55 contain a stack-based buffer overflow in its SSH service. A remote attacker can supply an overly long username during authentication, leading to remote code execution.

