CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność CVE-2025-31069 dotyczy deserializacji niezaufanych danych w motywie HotStar – Multi-Purpose Business Theme, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji motywu od n/a do 1.4.
W podatności CVE-2025-31056 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Techspawn WhatsCart dla WooCommerce. Problem ten dotyczy wersji od n/a do 1.1.0 włącznie.
Podatność na deserializację nieufnych danych w themeton Dash umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Dash od n/a do 1.3.
Podatności związane z usuwaniem plików systemowych w ASPECT umożliwiają atakującym usunięcie plików systemowych, jeśli dane uwierzytelniające administratora sesji zostaną skompromitowane. Problem dotyczy wersji ASPECT-Enterprise, NEXUS Series oraz MATRIX Series do 3.08.03.
Podatności związane z manipulacją portami w ASPECT umożliwiają atakującym kontrolowanie dostępu do portów TCP/IP, jeśli dane uwierzytelniające administratora sesji zostaną skompromitowane. Problem ten dotyczy wersji ASPECT-Enterprise do 3.08.03 oraz serii NEXUS i MATRIX do 3.08.03.
Podatności związane z uszkodzeniem plików w ASPECT umożliwiają atakującym nadpisywanie plików systemowych, jeśli dane uwierzytelniające administratora sesji zostaną skompromitowane. Problem ten dotyczy wersji ASPECT-Enterprise do 3.08.03, serii NEXUS do 3.08.03 oraz serii MATRIX do 3.08.03.
Podatność w ASPECT umożliwia eskalację uprawnień, co może pozwolić atakującemu na uzyskanie dostępu root do serwera, gdy jest zalogowany jako użytkownik ASPECT bez uprawnień root. Problem ten dotyczy wersji ASPECT-Enterprise, NEXUS Series oraz MATRIX Series do 3.08.03.
Produkty Vertiv są podatne na atak, ponieważ nie chronią odpowiednio funkcji serwera WWW, co może umożliwić atakującemu ominięcie uwierzytelnienia.
Produkty Vertiv zawierają podatność na przepełnienie bufora w stosie. Atakujący może wykorzystać tę podatność do uzyskania wykonania kodu na urządzeniu.
Wbudowany serwer WWW nie posiada uwierzytelniania ani kontroli dostępu, co umożliwia nieograniczony zdalny dostęp. Może to prowadzić do zmian w konfiguracji, zakłóceń w działaniu lub wykonania dowolnego kodu, w zależności od środowiska i udostępnionej funkcjonalności.
Rozszerzenie sr_feuser_register w wersji do 12.4.8 dla TYPO3 umożliwia zdalne wykonanie kodu. Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemu.
Spring Security Aspects mogą nieprawidłowo lokalizować adnotacje zabezpieczeń metod na prywatnych metodach, co może prowadzić do obejścia autoryzacji. Aplikacja jest narażona, jeśli używasz @EnableMethodSecurity(mode=ASPECTJ) oraz spring-security-aspects i masz adnotacje zabezpieczeń na prywatnych metodach.
Motyw Madara – responsywny i nowoczesny motyw WordPress dla stron manga jest podatny na Local File Inclusion we wszystkich wersjach do 2.2.2 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Niewłaściwe ograniczenie ścieżki pliku w aplikacjach do provisioningu obwodów i importu plików umożliwia modyfikację oraz przesyłanie plików. To może prowadzić do nieautoryzowanego dostępu do systemu.
Motors theme dla WordPressa jest podatny na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.6.67 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.
W podatności CVE-2025-48340 występuje atak typu Cross-Site Request Forgery (CSRF) w menedżerze profili użytkowników Danny Vink, co pozwala na eskalację uprawnień. Problem dotyczy wersji menedżera profili użytkowników od n/a do 1.02 włącznie.
Podatność CVE-2025-39402 w systemie mojoomla WPAMS umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie (17-08-2023).
Podatność CVE-2025-39401 w systemie mojoomla WPAMS umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie (17-08-2023).
W podatności CVE-2025-39395 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie mojoomla WPAMS do wersji 44.0. Problem ten dotyczy wszystkich wersji od n/a do 44.0 włącznie.
W podatności CVE-2025-39389 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Solid Plugins AnalyticsWP. Problem dotyczy wersji AnalyticsWP od n/a do 2.1.2.

