CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
W systemie zarządzania szpitalem mojoomla występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu od n/a do 47.0 włącznie.
W systemie zarządzania szpitalem mojoomla występuje podatność na nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji systemu zarządzania szpitalem od n/a do 47.0 włącznie.
Podatność na deserializację nieufnych danych w Chimpstudio Foodbakery Sticky Cart umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Foodbakery Sticky Cart od n/a do 3.2 włącznie.
Podatność na deserializację niezaufanych danych w ThemeGoods Grand Conference umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Grand Conference od n/a do 5.3 włącznie.
Podatność CVE-2025-39349 dotyczy deserializacji niezaufanych danych w CiyaShop, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji CiyaShop od n/a do 4.18.0 włącznie.
Podatność CVE-2025-39348 dotyczy deserializacji niezaufanych danych w wtyczce Grand Restaurant, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Grand Restaurant od n/a do 7.0 włącznie.
Podatność na deserializację niezaufanych danych w ThemeGoods Altair umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Altair od n/a do 5.2.2 włącznie.
Podatność na deserializację niezaufanych danych w Chimpstudio FoodBakery wp-foodbakery umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji FoodBakery od n/a do 3.3 włącznie.
Podatność typu 'Path Traversal' w ThemeGoods Grand Restaurant umożliwia nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Problem ten dotyczy wersji Grand Restaurant od n/a do 7.0 włącznie.
Podatność CVE-2025-47581 dotyczy deserializacji niezaufanych danych w wtyczce elbisnero WordPress Events Calendar Registration & Tickets, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 2.6.0 włącznie.
Podatność CVE-2025-47577 dotyczy wtyczki TI WooCommerce Wishlist, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
W Gardenerze, który automatyzuje zarządzanie klastrami Kubernetes, odkryto podatność przed wersjami 1.116.4, 1.117.5, 1.118.2 i 1.119.0. Użytkownik z uprawnieniami administracyjnymi do projektu Gardener mógł uzyskać kontrolę nad klastrami seed, w których zarządzane są klastry shoot.
W podatności CVE-2025-39445 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem ten dotyczy wersji wtyczki od n/a do 7.2 włącznie.
Podatność CVE-2025-39410 dotyczy deserializacji niezaufanych danych w dodatku Smart Sections Theme Builder dla WPBakery Page Builder. Problem ten występuje w wersjach od n/a do 1.7.8.
W podatności CVE-2025-39406 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku PHP w systemie mojoomla WPAMS do zarządzania mieszkaniami. Problem dotyczy wersji WPAMS od n/a do 44.0 włącznie.
Podatność CVE-2025-47582 dotyczy deserializacji niezaufanych danych w wtyczce WPBot Pro dla WordPressa, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPBot Pro od n/a do 12.7.0.
W systemie zarządzania zewnętrznymi wpisami DNS Gardener przed wersją 0.23.6 odkryto podatność, która może umożliwić użytkownikowi z uprawnieniami administracyjnymi do projektu Gardener lub klastra shoot przejęcie kontroli nad klastrem seed, w którym zarządzany jest klaster shoot. Podatność ta dotyczy wszystkich instalacji Gardener, niezależnie od używanego dostawcy chmury publicznej.
Podatność CVE-2025-26892 w dkszone Celestial Aura umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Celestial Aura od n/a do 2.2.
Podatność CVE-2025-26872 w dkszone Eximius umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na wykorzystanie złośliwych plików. Problem dotyczy wersji Eximius od n/a do 2.2.
Pgpool-II dostarczany przez PgPool Global Development Group zawiera podatność na obejście uwierzytelniania z powodu podstawowej słabości. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do systemu jako dowolny użytkownik, co pozwala na odczyt lub modyfikację danych w bazie danych oraz/lub dezaktywację bazy danych.

