CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Podatność CVE-2025-49330 dotyczy deserializacji niezaufanych danych w integracji CRM Perks dla Contact Form 7 i Zoho CRM, Bigin, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji integracji od n/a do 1.3.0 włącznie.
Podatność CVE-2025-49071 w motywie NasaTheme Flozen umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Flozen od n/a do poniżej 1.5.1.
Podatność CVE-2025-48274 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Job Portal w wersjach od n/a do 2.3.2.
W podatności CVE-2025-47573 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie zarządzania szkołą mojoomla. Problem dotyczy wersji od n/a do 92.0.0.
Podatność CVE-2025-47559 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w MapSVG, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji MapSVG od n/a do poniżej 8.7.4.
Podatność CVE-2025-47452 w wtyczce WP VR pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP VR od n/a do 8.5.26.
Podatność CVE-2025-39479 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Smart Notification. Problem ten dotyczy wersji Smart Notification od n/a do 10.3.
Podatność CVE-2025-32510 dotyczy Ovatheme Events Manager, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Wersje od n/a do 1.8.4 są narażone na wykorzystanie złośliwych plików.
Podatność na deserializację nieufnych danych w themeton Spare umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Spare od n/a do 1.7.
Podatność CVE-2025-30618 dotyczy deserializacji niezaufanych danych w rozszerzeniu Rapyd Payment dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji rozszerzenia od n/a do 1.2.0 włącznie.
W podatności CVE-2025-24773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce mojoomla WPCRM dla formularza kontaktowego CF7 oraz WooCommerce. Problem dotyczy wersji WPCRM od n/a do 3.2.0 włącznie.
A privilege escalation from host to domain vulnerability was found in FreeIPA. The lack of uniqueness validation for the `krbCanonicalName` attribute of the admin account allows creating a service with the same canonical name as the REALM admin. A successful attack lets the attacker obtain a Kerberos ticket with admin@REALM credentials.
A vulnerability was found in libxml2 where processing certain sch:name elements from an input XML file can trigger memory corruption. An attacker can craft a malicious XML file causing libxml to crash, leading to denial of service or other undefined behavior due to sensitive data being corrupted in memory.
A use-after-free vulnerability was found in libxml2 when parsing XPath elements under certain circumstances with XML schematron containing <sch:name path="..."/> elements. This flaw allows a malicious actor to craft a malicious XML document that, when processed by libxml, can cause a program crash or other undefined behaviors.
Mojolicious::Plugin::CaptchaPNG w wersji 1.05 dla Perla wykorzystuje słabe źródło liczb losowych do generowania captcha. Użycie wbudowanej funkcji rand() do generowania tekstu captcha oraz szumów w obrazach jest niebezpieczne.
W aplikacji mobilnej (com.afmobi.boomplayer) występuje podatność związana z uprawnieniami, która może prowadzić do ryzyka nieautoryzowanych operacji.
Platforma zarządzania współtworzeniem stron internetowych WIMP od HAMASTAR Technology zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Wtyczka Image Resizer On The Fly dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w zadaniu 'delete' we wszystkich wersjach do 1.1 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
A buffer overflow vulnerability was found in the TOTOLINK N600R router firmware version 4.3.0cu.7866_B2022506. A remote attacker can exploit the UPLOAD_FILENAME component to execute arbitrary code.
Podatność CVE-2025-29902 umożliwia zdalne wykonanie kodu, co pozwala nieautoryzowanym użytkownikom na uruchamianie dowolnego kodu na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa systemu.

