CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Podatność CVE-2025-48300 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Groundhogg, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Groundhogg od n/a do 4.2.1.
Podatność na deserializację niezaufanych danych w systemie CoSchool LMS firmy Codexpert, Inc. umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CoSchool LMS od n/a do 1.4.3 włącznie.
Podatność CVE-2025-30949 dotyczy deserializacji niezaufanych danych w aplikacji Guru Team Site Chat na platformie Telegram, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Site Chat na Telegram od n/a do 1.0.4 włącznie.
W podatności CVE-2025-30936 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Torod. Problem ten dotyczy wersji Torod od n/a do 2.1 włącznie.
Podatność CVE-2025-29009 dotyczy wtyczki Webkul Medical Prescription Attachment dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
W podatności CVE-2025-28982 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce ThimPress WP Pipes. Problem dotyczy wersji WP Pipes od n/a do 1.4.3.
Podatność CVE-2025-28961 dotyczy deserializacji niezaufanych danych w URL Shortener autorstwa Md Yeasin Ul Haider, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji URL Shortener od n/a do 3.0.7 włącznie.
W podatności CVE-2025-28959 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w narzędziu Md Yeasin Ul Haider URL Shortener. Problem ten dotyczy wersji URL Shortener od n/a do 3.0.7 włącznie.
Wtyczka WP-BusinessDirectory w CMSJunkie dla WordPressa zawiera podatność na SQL Injection, która umożliwia przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji od n/a do 3.1.4.
Podatność typu Cross-Site Request Forgery (CSRF) w Shahjahan Jewel FluentSnippets easy-code-manager umożliwia przeprowadzenie ataku CSRF. Problem ten dotyczy wersji FluentSnippets od n/a do 10.50 włącznie.
In Eclipse GlassFish versions before 8.0.3, it is possible to perform Login Brute Force attacks as there is no limitation in the number of failed login attempts.
Podatność CVE-2025-52689 umożliwia nieautoryzowanemu atakującemu uzyskanie ważnego identyfikatora sesji z uprawnieniami administratora poprzez sfałszowanie żądania logowania. To może pozwolić atakującemu na modyfikację zachowania punktu dostępowego.
Wykorzystanie tej podatności może umożliwić atakującemu wstrzykiwanie poleceń z uprawnieniami roota na punkcie dostępowym, co może prowadzić do utraty poufności, integralności, dostępności oraz pełnej kontroli nad punktem dostępowym.
VMware ESXi, Workstation i Fusion zawierają podatność typu heap-overflow w kontrolerze PVSCSI (Parawirtualizowany SCSI), co prowadzi do zapisu poza przydzielonym obszarem pamięci. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać tę lukę do wykonania kodu jako proces VMX maszyny wirtualnej działającej na hoście.
VMware ESXi, Workstation i Fusion zawierają błąd przepełnienia całkowitego w VMCI (Interfejs Komunikacji Maszyn Wirtualnych), który prowadzi do zapisu poza przydzielonym obszarem pamięci. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej może wykorzystać ten problem do wykonania kodu jako proces VMX maszyny wirtualnej działającej na hoście.
VMware ESXi, Workstation i Fusion zawierają podatność na przepełnienie całkowitej liczby w wirtualnym adapterze sieciowym VMXNET3. Złośliwy użytkownik z lokalnymi uprawnieniami administracyjnymi na maszynie wirtualnej z adapterem VMXNET3 może wykorzystać tę lukę do wykonania kodu na hoście.
Wykryto lukę w autoryzacji w punkcie końcowym /web/um_open_telnet.cgi w oprogramowaniu układowym routera Nexxt Solutions NCM-X1800 w wersji UV1.2.7 i niższej, która pozwala atakującemu na zdalne włączenie usługi Telnet bez autoryzacji, omijając zabezpieczenia. Serwer Telnet jest dostępny z twardo zakodowanymi poświadczeniami, co umożliwia atakującym uzyskanie dostępu do powłoki administracyjnej i wykonywanie dowolnych poleceń na urządzeniu.
W produkcie serwera lokalnego ActADUR, opracowanym i utrzymywanym przez ProTNS, występują podatności umożliwiające zdalne wstrzykiwanie kodu na systemach gospodarzy. Kluczowe problemy to niewłaściwe neutralizowanie specjalnych elementów w poleceniach, użycie twardo zakodowanych poświadczeń, niewłaściwa autoryzacja oraz wiązanie do nieograniczonego adresu IP.
Wtyczka HT Contact Form Widget dla WordPressa jest podatna na przenoszenie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_files_upload(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.
Wtyczka HT Contact Form Widget dla Elementor Page Builder i Gutenberg Blocks oraz Form Builder w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji temp_file_delete(). Dotyczy to wszystkich wersji do 2.2.1 włącznie.

