CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność CVE-2025-31429 dotyczy deserializacji niezaufanych danych w motywie PressGrid - Frontend Publish Reaction & Multimedia, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.3.1.
Podatność CVE-2025-31424 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Lead Capturing Pages w wersjach poniżej 2.6.
Podatność na deserializację niezaufanych danych w themeton PIMP - Creative MultiPurpose umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji PIMP - Creative MultiPurpose od n/a do 1.7.
Podatność CVE-2025-31396 dotyczy deserializacji niezaufanych danych w motywie FLAP - Business WordPress, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji motywu od n/a do 1.5.
Podatność CVE-2025-31059 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce WBW Product Table PRO w wersjach od n/a do 2.2.6. Atakujący może wykorzystać tę lukę do manipulacji bazą danych.
Podatność CVE-2025-31052 dotyczy deserializacji niezaufanych danych w motywie The Fashion - Model Agency One Page Beauty Theme, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.4.4.
Podatność CVE-2025-31039 dotyczy niewłaściwego ograniczenia odniesienia do zewnętrznych jednostek XML w wtyczce Category Icon w wersjach od n/a do 1.0.3. Umożliwia to linkowanie jednostek XML, co może prowadzić do nieautoryzowanego dostępu do danych.
Podatność CVE-2025-31022 w PayU India umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten dotyczy wersji PayU India od n/a do poniżej 3.8.8.
W podatności CVE-2025-24767 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w wtyczce TicketBAI Facturas dla WooCommerce. Problem ten dotyczy wersji wtyczki od n/a do 3.19 włącznie.
W WilderForge zidentyfikowano krytyczną podatność w wielu projektach, wynikającą z niebezpiecznego użycia zmiennych kontrolowanych przez użytkownika w kontekście skryptów powłoki w GitHub Actions. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu, co prowadzi do wykonania dowolnych poleceń w kontekście uprawnień workflow.
System Zarządzania Inteligentnym Parkowaniem firmy Honding Technology ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do określonej strony i zdobyć hasła administratora w postaci niezaszyfrowanej.
Podatność na deserializację niezaufanych danych w wtyczce Sweet Dessert pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Sweet Dessert od n/a do poniżej 1.1.13.
Podatność CVE-2025-49072 dotyczy deserializacji niezaufanych danych w motywie Mr. Murphy od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Mr. Murphy od n/a do poniżej 1.2.12.1.
W podatności CVE-2025-47586 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w motywie StylemixThemes Motors - Events w wersjach od n/a do 1.4.7.
W systemie zarządzania zasobami ludzkimi Soar Cloud HRD do wersji 7.3.2025.0408 występuje podatność na nieograniczone przesyłanie plików o niebezpiecznym typie. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń systemowych za pomocą złośliwego pliku.
Podatność CVE-2025-48780 dotyczy deserializacji niezaufanych danych w funkcji pobierania plików w systemie zarządzania zasobami ludzkimi Soar Cloud HRD do wersji 7.3.2025.0408. Umożliwia zdalnym atakującym wykonywanie dowolnych poleceń systemowych za pomocą spreparowanego obiektu zserializowanego.
Brak ochrony przed atakami typu path traversal umożliwia dostęp do dowolnego pliku na serwerze.
Wtyczka WP Email Debug dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji WPMDBUG_handle_settings() w wersjach od 1.0 do 1.1.0. Umożliwia to nieautoryzowanym atakującym włączenie debugowania i wysyłanie wszystkich e-maili na kontrolowany przez atakującego adres, a następnie wywołanie resetu hasła dla konta administratora.
Cross Site Scripting (XSS) vulnerability in MailEnable before version 10 allows a remote attacker to execute arbitrary code via the failure.aspx component.
Podatność pozwala na dowolne zapisywanie plików w systemie plików poza katalogiem ekstrakcji podczas używania filtru 'data' w module tarfile. Dotyczy to sytuacji, gdy używasz funkcji TarFile.extractall() lub TarFile.extract() z parametrem filter ustawionym na 'data' lub 'tar'.

