CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Wtyczka Doccure Core dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'doccure_temp_upload_to_media' we wszystkich wersjach do i włącznie z 1.5.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
A cross-site scripting (XSS) vulnerability was discovered in Scholl Communications AG Weblication CMS Core version v019.004.000.000. It allows injection of malicious JavaScript code into CMS-generated pages.
OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.
Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.9. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed jego uwierzytelnieniem.
W podatności CVE-2025-58628 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection. Problem dotyczy wersji Miraculous od n/a do poniżej 2.0.9.
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce smart SEO od axiomthemes umożliwia eskalację uprawnień. Problem dotyczy wersji smart SEO od n/a do 4.0 włącznie.
Podatność CVE-2025-58819 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.
W wersjach TkEasyGUI przed v1.0.22 występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na 'OS Command Injection'. W przypadku wykorzystania tej podatności, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe, jeśli ustawienia są skonfigurowane do tworzenia wiadomości z zewnętrznych źródeł.
Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.
Portal zakupowy phpGuruKul w wersji 2.0 jest podatny na nieautoryzowane przesyłanie plików w pliku /admin/insert-product.php z powodu braku walidacji rozszerzeń.
Podatność CVE-2025-1740 w Akinsoft MyRezzta polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia obejście uwierzytelnienia, wykorzystanie odzyskiwania hasła oraz ataki typu brute force. Problem dotyczy wersji MyRezzta od s2.03.01 do przed v2.05.01.
W podatności CVE-2024-32444 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.3.6 włącznie.
W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.
W BootRom występuje potencjalny brak sprawdzenia rozmiaru ładunku. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W FDL1 występuje potencjalny brak sprawdzenia rozmiaru ładunku, co może prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W BootROM brakuje sprawdzenia rozmiaru kluczy RSA podczas walidacji typu certyfikatu 0. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.
W SkyBridge BASIC MB-A130 w wersji 1.5.8 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonywać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2025-31100 w systemie zarządzania szkołą Mojoomla pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 1.93.1.
W podatności CVE-2024-32832 występuje brak autoryzacji w funkcji logowania za pomocą numeru telefonu w aplikacji Login with phone number, co może prowadzić do nieautoryzowanego dostępu. Problem dotyczy wersji od n/a do 1.6.93 włącznie.

