CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W podatności CVE-2025-28942 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w bramce płatności Trust Payments dla WooCommerce. Problem ten dotyczy wersji bramki od n/a do 1.1.4 włącznie.
W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.
W podatności CVE-2025-28898 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce WP Multistore Locator. Problem dotyczy wersji od n/a do 2.5.2.
W podatności CVE-2025-28893 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w edytorze tekstu Govind Visual Text Editor. Problem dotyczy wersji edytora od n/a do 1.2.1 włącznie.
W podatności CVE-2025-26941 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Church Admin w wersjach od n/a do 5.0.18.
W Pagure odkryto podatność, która polega na wstrzykiwaniu argumentów w Git podczas pobierania historii repozytoriów. Może to prowadzić do zdalnego wykonania kodu na instancji Pagure.
Moduł zarządzania pamięcią systemu cFS (Core Flight System) Aquila NASA ma niebezpieczne uprawnienia, co może być wykorzystane do uzyskania zdalnego wykonania kodu (RCE) na platformie.
Problem w IIT Bombay, Mumbai, India w Bodhitree wersji cs101 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu.
W podatności CVE-2025-28904 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Shamalli Web Directory Free. Problem dotyczy wersji Web Directory Free od n/a do 1.7.6 włącznie.
W module uwierzytelniania w Convivance StandVoice w wersjach od 4.5 do 6.2 występuje podatność na atak typu SQL injection, która umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą parametru GEST_LOGIN.
W Kubernetes odkryto problem bezpieczeństwa, który pozwala nieautoryzowanemu atakującemu z dostępem do sieci podów na wykonanie dowolnego kodu w kontekście kontrolera ingress-nginx. Może to prowadzić do ujawnienia sekretów dostępnych dla kontrolera.
W mechanizmie RBAC (kontrola dostępu oparta na rolach) opartym na Shiro w projekcie OpenDaylight Service Function Chaining (SFC) w wersji Sodium-SR4 i niższych występuje problem, który umożliwia atakującym wykonywanie uprzywilejowanych operacji za pomocą spreparowanego żądania.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce WP e-Commerce Style Email pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.6.2 włącznie.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Awesome Logos umożliwia wykonanie ataku SQL Injection. Problem dotyczy wersji Awesome Logos od n/a do 1.2 włącznie.
Kcp to kontroler podobny do Kubernetes, który obsługuje różne formy i przypadki użycia. Przed wersją 0.26.3 istniała podatność, która pozwalała na tworzenie lub usuwanie obiektów za pomocą APIExport VirtualWorkspace w dowolnej przestrzeni roboczej dla istniejących zasobów, co powinno być dozwolone tylko po przyznaniu dostępu przez właściciela przestrzeni roboczej.
W podatności CVE-2025-2311 w oprogramowaniu SecHard przed wersją 3.3.0.20220411 występuje nieprawidłowe użycie uprzywilejowanych interfejsów API, co prowadzi do możliwości ominięcia uwierzytelnienia, manipulacji interfejsem oraz nadużycia uwierzytelnienia. Dodatkowo, dane wrażliwe są przesyłane w postaci niezaszyfrowanej, co zwiększa ryzyko wycieku informacji.
Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.
W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.
Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.
W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.

