CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji delete_file() w wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Podatność na deserializację niezaufanych danych w AncoraThemes Kids Planet pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Kids Planet od n/a do 2.2.14 włącznie.
Podatność CVE-2025-48287 dotyczy deserializacji niezaufanych danych w systemie Pagaleve Pix 4x sem juros, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.6.9 włącznie.
W podatności CVE-2025-48283 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Majestic Support. Problem ten dotyczy wersji od n/a do 1.1.0 włącznie.
Podatność CVE-2025-47687 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w StoreKeeper dla WooCommerce, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji StoreKeeper dla WooCommerce od n/a do 14.4.4.
Podatność CVE-2025-47663 w systemie zarządzania szpitalem mojoomla umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji systemu od 47.0(20 do 11.
Podatność CVE-2025-47658 dotyczy systemu ELEX WordPress HelpDesk & Customer Ticketing, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 3.2.9 włącznie.
W mechanizmie odzyskiwania hasła w Gilblas Ngunte Possi PSW Front-end Login & Registration występuje podatność, która umożliwia wykorzystanie procesu odzyskiwania hasła. Problem ten dotyczy wersji od n/a do 1.13 włącznie.
Podatność CVE-2025-47642 dotyczy Ajar Productions Ajar in5 Embed, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-47641 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Printcart Web to Print Product Designer dla WooCommerce. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
W podatności CVE-2025-47640 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w integracji Printcart Web to Print Product Designer dla WooCommerce. Problem dotyczy wersji od n/a do 2.4.0 włącznie.
Podatność CVE-2025-47637 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w STAGGS, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji STAGGS od n/a do 2.11.0 włącznie.
W podatności CVE-2025-47599 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w aplikacji Facturante. Problem ten dotyczy wersji Facturante od n/a do 1.11 włącznie.
Podatność CVE-2025-47568 dotyczy deserializacji niezaufanych danych w ZoomIt ZoomSounds, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji ZoomSounds od n/a do 6.91 włącznie.
W podatności CVE-2025-47539 występuje nieprawidłowe przypisanie uprawnień w Arraytics Eventin wp-event-solution, co umożliwia eskalację uprawnień. Problem ten dotyczy wersji Eventin od n/a do 4.0.26 włącznie.
Podatność CVE-2025-47532 dotyczy deserializacji niezaufanych danych w bramce płatności CoinPayments.net dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.0.17 włącznie.
Podatność CVE-2025-47530 dotyczy deserializacji niezaufanych danych w WPFunnels, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPFunnels od n/a do 3.5.18 włącznie.
W podatności CVE-2025-46539 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w WPFable Fable Extra. Problem dotyczy wersji Fable Extra od n/a do 1.0.6 włącznie.
Podatność CVE-2025-46490 dotyczy oprogramowania Crossword Compiler Puzzles, które pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 5.2 włącznie.
W podatności CVE-2025-46468 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku. Problem ten dotyczy wersji Fable Extra od n/a do 1.0.6.

