CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W panelu logowania B2B oprogramowania Merkur występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji przed 15.01.2025.
W podatności CVE-2024-12097 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie E-Travel firmy Boceksoft Informatics. Problem dotyczy wersji przed 15.12.2024.
Motyw Homey dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 2.4.2 włącznie. Problem wynika z możliwości, jaką plugin daje użytkownikom rejestrującym nowe konta, aby mogli ustawić własną rolę.
Wtyczka Homey Login Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.4.0 włącznie. Problem wynika z możliwości, że użytkownicy rejestrujący nowe konta mogą ustawić własną rolę, co pozwala nieautoryzowanym atakującym na uzyskanie podwyższonych uprawnień poprzez stworzenie konta z rolą administratora.
Wtyczka WP Real Estate Manager dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 2.8. Problem wynika z niewystarczającej weryfikacji tożsamości w procesie logowania przez LinkedIn.
Motyw VEDA - MultiPurpose WordPress Theme dla WordPressa jest podatny na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 4.2, poprzez deserializację nieufnych danych wejściowych w funkcji 'veda_backup_and_restore_action'. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, wstrzyknięcie obiektu PHP.
Nieautoryzowany zdalny atakujący może wykorzystać wbudowane dane uwierzytelniające, aby uzyskać pełne uprawnienia administracyjne w dotkniętym produkcie.
W GMOD Apollo występuje funkcjonalność, która nie wymaga uwierzytelnienia, gdy jest używana z nazwą użytkownika administracyjnego. Może to prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych.
Podatność CVE-2025-23410 dotyczy interfejsu webowego GMOD Apollo, który podczas przesyłania danych organizmów lub sekwencji nie sprawdza ataków typu path traversal w obsługiwanych typach archiwów. To może prowadzić do nieautoryzowanego dostępu do systemu plików.
Na podatnych platformach działających na Arista EOS z skonfigurowanym OpenConfig, żądanie gNOI może być wykonane, gdy powinno zostać odrzucone. Może to prowadzić do nieoczekiwanego zastosowania konfiguracji lub operacji na przełączniku.
Podatność CVE-2025-1942 dotyczy funkcji String.toUpperCase(), która mogła powodować wydłużenie łańcucha, co skutkowało włączeniem niezainicjowanej pamięci do wyniku. Problem ten został naprawiony w wersjach Firefox 136 i Thunderbird 136.
W określonych okolicznościach, ustawienie wymagające uwierzytelnienia przed użyciem funkcji Focus mogło zostać ominięte. Ta podatność została naprawiona w przeglądarce Firefox 136.
W podatności CVE-2024-8262 w oprogramowaniu Proliz Software OBS występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu Path Traversal. Problem dotyczy wersji OBS przed 24.0927.
W systemie Residential Address Detection od enituretechnology występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 2.5.4 włącznie.
W podatności CVE-2025-27268 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Small Package Quotes – Worldwide Express Edition. Problem dotyczy wersji od n/a do 5.2.18 włącznie.
The SMS Alert Order Notifications plugin for WordPress (versions up to and including 3.7.8) contains an SQL injection vulnerability. The flaw results from improper neutralization of special elements in SQL commands, allowing an attacker to perform unauthorized database operations.
Podatność CVE-2025-26970 dotyczy niewłaściwej kontroli generowania kodu w rdzeniu motywu FRESHFACE Ark, co pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji rdzenia motywu Ark od n/a do poniżej 1.71.0.
W podatności CVE-2025-26535 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do podatności na atak typu Blind SQL Injection w bramce płatności CodeSolz Bitcoin / AltCoin dla WooCommerce. Problem dotyczy wersji bramki od n/a do 1.7.6 włącznie.
W podatności CVE-2025-25150 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce uListing w wersjach od n/a do 2.1.6.
Wtyczka Academist Membership dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.1.6. Problem wynika z funkcji academist_membership_check_facebook_user(), która nieprawidłowo weryfikuje tożsamość użytkownika przed jego uwierzytelnieniem.

