CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
WinMatrix3 opracowany przez Simopro Technology zawiera podatność na niebezpieczną deserializację, która pozwala nieautoryzowanym zdalnym atakującym na wykonanie dowolnego kodu na serwerze poprzez wysyłanie złośliwie skonstruowanych zawartości serializowanych.
Wtyczka Integracja dla Google Sheets oraz Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.1.1 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
Wtyczka Integracja dla Pipedrive i Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.2.3 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wtyczka LoginPress Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 5.0.1 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Wtyczka Articles Calendar w wersjach 1.0.0 - 1.0.1.0007 dla Joomla zawiera podatność na wstrzykiwanie SQL, która pozwala atakującym na wykonywanie dowolnych poleceń SQL.
Wtyczka Articles Good Search w wersjach 1.0.0 - 1.2.4.0011 dla Joomla zawiera podatność na wstrzykiwanie SQL, co pozwala atakującym na wykonywanie dowolnych poleceń SQL.
Wtyczka Attachment Manager dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_actions() we wszystkich wersjach do 2.1.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Motyw WooCommerce Refund And Exchange with RMA - Warranty Management, Refund Policy, Manage User Wallet dla WordPress jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'ced_rnx_order_exchange_attach_files' we wszystkich wersjach do 3.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Leviton AcquiSuite i Energy Monitoring Hub są podatne na atak typu cross-site scripting, co pozwala napastnikowi na stworzenie złośliwego ładunku w parametrach URL. Po dostępie przez użytkownika, ładunek ten może zostać wykonany w przeglądarce klienta, co prowadzi do kradzieży tokenów sesji i przejęcia kontroli nad usługą.
Brocade ASCG w wersjach przed 3.3.0 umożliwia użycie algorytmów kryptograficznych o średniej sile na portach wewnętrznych 9000 i 8036.
Brocade ASCG przed wersją 3.3.0 rejestruje JSON Web Tokens (JWT) w plikach dziennika. Atakujący z dostępem do tych plików może uzyskać niezaszyfrowane tokeny, co stwarza poważne zagrożenia dla bezpieczeństwa.
NVIDIA Container Toolkit dla wszystkich platform zawiera podatność w niektórych hookach używanych do inicjalizacji kontenera, która pozwala atakującemu na wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Udany atak może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji oraz odmowy usługi.
Livewire to pełnostackowy framework dla Laravel. W wersjach Livewire v3 do v3.6.3 występuje podatność, która pozwala nieautoryzowanym atakującym na zdalne wykonanie poleceń w określonych scenariuszach, związana z aktualizacjami właściwości komponentów.
W wersji nbcio-boot v1.0.3 odkryto podatność na wstrzykiwanie SQL poprzez parametr userIds w ścieżce /sys/user/deleteRecycleBin.
A vulnerability in Island Lake WebBatch before version 2025C allows remote code execution via a crafted URL. An attacker can send a specially crafted HTTP request, leading to arbitrary code execution on the server.
W Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 występuje podatność na wstrzykiwanie SQL (SQL Injection), która pozwala nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez odpowiednio skonstruowane żądania HTTP lub HTTPS.
Wtyczka Madara - Core dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji wp_manga_delete_zip() we wszystkich wersjach do 2.2.3 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Wtyczka Bears Backup dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.0.0. Problem wynika z braku sprawdzenia uprawnień w funkcji bbackup_ajax_handle() oraz niewalidowania danych wejściowych dostarczonych przez użytkownika, co umożliwia nieautoryzowanym atakującym wykonanie kodu na serwerze.
W podatności CVE-2025-52836 występuje błędne przypisanie uprawnień w systemie E-Commerce ERP firmy Unity Business Technology Pty Ltd, co umożliwia eskalację uprawnień. Problem dotyczy wersji E-Commerce ERP od n/a do 2.1.1.3 włącznie.
W podatności CVE-2025-52714 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem dotyczy wersji Traveler od n/a do poniżej 3.2.2.

