CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Problem z uprawnieniami został rozwiązany poprzez dodatkowe ograniczenia w piaskownicy. Problem ten został naprawiony w macOS Sequoia 15.4, macOS Sonoma 14.7.5 oraz macOS Ventura 13.7.5. Opcja 'Zablokuj całą zawartość zdalną' może nie mieć zastosowania dla wszystkich podglądów wiadomości.
Problem ten został rozwiązany poprzez poprawę zarządzania stanem. Błąd został naprawiony w Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 oraz watchOS 11.4.
Wersje VyOS od 1.3 do 1.5 (naprawione w 1.4.2) oraz systemy oparte na Debianie korzystające z Dropbear w połączeniu z live-build mają te same prywatne klucze hosta Dropbear w różnych instalacjach. Umożliwia to atakującym przeprowadzenie aktywnych ataków typu man-in-the-middle na połączenia SSH, jeśli Dropbear jest włączony jako demon SSH.
Unraid w wersji 7.0.0 przed 7.0.1 pozwala zdalnym użytkownikom na dostęp do interfejsu WebGUI i konsoli webowej jako root bez uwierzytelnienia, jeśli kontener działa w trybie sieciowym Host z włączoną opcją Use Tailscale.
Wszystkie wersje mini CHOCO TEI WATCHER (IB-MCT001) mają problem z bezpośrednimi żądaniami ('Forced Browsing'). Zdalny atakujący może wysłać specjalnie skonstruowane żądanie HTTP, co może prowadzić do uzyskania lub usunięcia danych produktu oraz zmiany ustawień produktu.
Wszystkie wersje urządzenia CHOCO TEI WATCHER mini (IB-MCT001) mają problem z wymaganiami dotyczącymi haseł, co może prowadzić do ich słabości. Wykorzystanie tej podatności może umożliwić atakującemu dostęp i logowanie się bez autoryzacji poprzez atak siłowy.
SOOP-CLM od PiExtract zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Występuje podatność typu out-of-bounds w przetwarzaniu EMF Recode w różnych sterownikach drukarek Generic Plus oraz innych. Może to prowadzić do nieautoryzowanego dostępu do pamięci.
W HPE Insight Cluster Management Utility występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może wykorzystać tę lukę do zdalnego uruchamiania kodu na systemie ofiary.
Wtyczka Checkout Mestres do WP dla WooCommerce w WordPressie jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień. Problem wynika z braku sprawdzenia uprawnień w funkcji cwmpUpdateOptions() w wersjach od 8.6.5 do 8.7.5.
Podatność CVE-2025-22526 dotyczy deserializacji niezaufanych danych w mywebtonet PHP/MySQL, co pozwala na wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.2.1 włącznie.
Podatność CVE-2025-22523 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection. Problem ten występuje w schedulerze Schedule w wersjach od n/a do 1.0.0.
Wtyczka Kubio AI Page Builder dla WordPressa jest podatna na atak Local File Inclusion we wszystkich wersjach do 2.5.1 włącznie, poprzez funkcję thekubio_hybrid_theme_load_template. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Podatność CVE-2025-26898 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem ten dotyczy wersji Traveler od n/a do poniżej 3.2.1.
Podatność CVE-2025-26873 dotyczy deserializacji niezaufanych danych w wtyczce Traveler od shinetheme. Problem ten występuje w wersjach Traveler od n/a do poniżej 3.2.1.
W podatności CVE-2025-26909 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wtyczki Hide My WP Ghost w wersjach od n/a do 5.4.01.
W wyniku niedawnej ucieczki z piaskownicy w Chrome (CVE-2025-2783), deweloperzy Firefox zauważyli podobny wzorzec w naszym kodzie IPC. Skompromitowany proces podrzędny mógłby spowodować, że proces nadrzędny zwróci niezamierzenie potężny uchwyt, co prowadzi do ucieczki z piaskownicy.
Wtyczka Export All Posts, Products, Orders, Refunds & Users dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do 2.13 włącznie, poprzez deserializację niezaufanego wejścia w funkcji 'returnMetaValueAsCustomerInput'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wersja 1.0.002 Build7 oprogramowania SCRIPT CASE zawiera podatność na manipulację odpowiedzią HTTP, która pozwala zdalnemu atakującemu na eskalację uprawnień poprzez odpowiednio skonstruowane żądanie.
Podatność CVE-2025-30524 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w module wyświetlania produktów katalogu. Problem ten dotyczy wersji Product Catalog od n/a do 1.0.4 włącznie.

