CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Podatność związana z nieprawidłowym przypisaniem uprawnień w Favethemes Homey umożliwia eskalację uprawnień. Problem ten dotyczy wersji Homey od n/a do 2.4.1.
Wtyczka tagDiv Composer dla WordPressa jest podatna na instancjonowanie obiektów PHP we wszystkich wersjach do i włącznie z 5.3 poprzez parametr modułu. Umożliwia to nieautoryzowanym atakującym instancjonowanie obiektu PHP.
Podatność CVE-2025-31911 dotyczy wtyczki Social Share And Social Locker, która umożliwia atak typu Blind SQL Injection. Problem występuje w wersjach od n/a do 1.4.2.
Wersja 3.5.1 i wcześniejsze oprogramowania vipshop Saturn zawiera podatność na wstrzykiwanie SQL, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent /console/dashboard/executorCount?zkClusterKey.
Pexip Infinity Connect przed wersją 1.13.0 nie posiada wystarczających kontroli autentyczności podczas ładowania zasobów, co umożliwia zdalnym atakującym uruchomienie nieufnego kodu w aplikacji.
Wtyczka Front End Users dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w polu przesyłania plików formularza rejestracyjnego we wszystkich wersjach do i włącznie z 3.2.32. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Podatność na deserializację niezaufanych danych w CBX Poll pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji CBX Poll od n/a do 2.0.4 włącznie.
W podatności CVE-2025-31579 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WP AutoKeyword w wersjach od n/a do 1.0. Atakujący może wykorzystać tę lukę do manipulacji bazą danych.
W podatności CVE-2025-31553 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WPFactory Advanced WooCommerce Product Sales Reporting. Problem dotyczy wersji od n/a do 4.1.1 włącznie.
W podatności CVE-2025-31552 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w RSVPMarker w wersjach od n/a do 11.6.7. Atakujący może wykorzystać tę lukę do manipulacji bazą danych.
Wtyczka Salesmate Add-On dla Gravity Forms zawiera podatność na wstrzykiwanie SQL (SQL Injection), która pozwala na nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji od n/a do 2.0.3.
Podatność CVE-2025-31534 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w aplikacji shopperdotcom Shopper. Problem ten dotyczy wersji Shopper od n/a do 3.2.5 włącznie.
W podatności CVE-2025-31531 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w module History Log by click5. Problem dotyczy wersji od n/a do 1.0.13 włącznie.
Podatność typu 'Path Traversal' w aplikacji Countdown & Clock pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Countdown & Clock od n/a do 2.8.8 włącznie.
W podatności CVE-2025-30807 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Next-Cart Store do migracji do WooCommerce. Problem dotyczy wersji od n/a do 3.9.4 wtyczki.
Podatność CVE-2025-30580 dotyczy niewłaściwej kontroli generacji kodu w edytorze obrazów DigiWidgets, co pozwala na zdalne wstrzykiwanie kodu. Problem ten występuje w wersjach od n/a do 1.10 włącznie.
Wtyczka WP RealEstate dla WordPressa, używana w motywie Homeo, jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.6.26. Problem wynika z niewystarczających ograniczeń ról w funkcji 'process_register', co umożliwia nieautoryzowanym atakującym rejestrację konta z rolą Administratora.
Podatność CVE-2025-31095 w Hossein Material Dashboard umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Material Dashboard od n/a do 1.4.5 włącznie.
Podatność CVE-2025-31087 dotyczy deserializacji niezaufanych danych w wtyczce Multiple Shipping And Billing Address For Woocommerce, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.5 włącznie.
Podatność CVE-2025-31084 dotyczy deserializacji niezaufanych danych w Sunshine Photo Cart, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Sunshine Photo Cart od n/a do 3.4.10 włącznie.

