CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Podatność na deserializację niezaufanych danych w ThemeMakers Visual Content Composer umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.5.8 włącznie.
Podatność CVE-2025-53213 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce ELEXtensions ReachShip WooCommerce Multi-Carrier & Conditional Shipping. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
Podatność CVE-2025-49890 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Organic Beauty, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Organic Beauty od n/a do 1.4.6.
Podatność CVE-2025-49434 dotyczy deserializacji niezaufanych danych w wtyczce Cars4Rent, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Cars4Rent od n/a do 1.4.2 włącznie.
W podatności CVE-2025-49422 występuje błędne przypisanie uprawnień w systemie Support Ticket od themepassion, co umożliwia eskalację uprawnień. Problem dotyczy wersji Support Ticket od n/a do 1.9 włącznie.
W podatności CVE-2025-49410 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych, co prowadzi do ataku typu Stored XSS w wtyczce TC Testimonials. Problem dotyczy wersji od n/a do 1.1.1.
Podatność CVE-2025-49409 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji brewlabs SensorPress, co prowadzi do możliwości ataku typu Stored XSS. Problem ten dotyczy wersji SensorPress od n/a do 1.0.
Podatność CVE-2025-49408 w WPDeveloper Templately umożliwia wstrzyknięcie wrażliwych informacji do wysyłanych danych, co pozwala na ich późniejsze odzyskanie. Problem ten dotyczy wersji Templately od n/a do 3.2.7.
Podatność CVE-2025-49400 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w wtyczce WP Visitor Statistics (Real Time Traffic), co prowadzi do możliwości ataków typu Stored XSS. Problem ten dotyczy wersji od n/a do 8.2.
W podatności CVE-2025-49381 występuje luka typu Cross-Site Request Forgery (CSRF) w aplikacji ads.txt Guru Connect, która pozwala na przeprowadzenie ataków CSRF. Problem ten dotyczy wersji od n/a do 1.1.1 włącznie.
W podatności CVE-2025-48169 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzykiwania kodu w silniku kodu Jordy Meow Code Engine. Problem dotyczy wersji Code Engine od n/a do 0.3.3 włącznie.
Podatność CVE-2025-48148 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w wtyczce StoreKeeper dla WooCommerce. Umożliwia to wykorzystanie złośliwych plików przez atakujących.
W przeglądarkach Firefox 141 i Thunderbird 141 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu przy odpowiednim wysiłku.
Atakujący mógł przeprowadzić korupcję pamięci w procesie GMP, który przetwarza zaszyfrowane media. Proces ten jest mocno izolowany, ale reprezentuje nieco inne uprawnienia niż proces zawartości.
Firefox na Androida pozwalał na rozpoczęcie pobierania z sandboxowanego iframe, który nie miał atrybutu `allow-downloads`. Ta podatność została naprawiona w wersji Firefox 141.
W przeglądarce Firefox na iOS występuje podatność, która pozwala złośliwym stronom na wykorzystanie FIDO do przesyłania linków do systemu operacyjnego i uruchamiania transportu hybrydowego klucza dostępu. Atakujący w zasięgu Bluetooth mógłby oszukać użytkownika, aby ten użył swojego klucza dostępu do zalogowania się na komputer atakującego.
Skaner QR w przeglądarce Firefox mógł umożliwić otwieranie dowolnych stron internetowych, jeśli użytkownik został oszukany i zeskanował złośliwy link wykorzystujący otwarty schemat URL. Ta podatność została naprawiona w wersji Firefox dla iOS 141.
Podatność CVE-2025-54143 dotyczy osadzonych iframe'ów na stronach internetowych, które mogą potencjalnie umożliwiać pobieranie plików na urządzenie, omijając oczekiwane ograniczenia sandboxa zadeklarowane na stronie nadrzędnej. Problem ten został naprawiony w przeglądarce Firefox dla iOS w wersji 141.
An issue was discovered in Cicool builder 3.4.4 allowing attackers to reset the administrator's password via the /administrator/auth/reset_password endpoint.
W platformie handlowej GenX_FX zidentyfikowano podatność w backendzie, która może prowadzić do ujawnienia kluczy API i tokenów uwierzytelniających w przypadku niewłaściwej konfiguracji zmiennych środowiskowych. To może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów chmurowych.

