CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność CVE-2025-24650 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Themefic Tourfic, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Tourfic od n/a do 2.15.3 włącznie.
W One Identity Identity Manager w wersjach 9.x przed 9.3 występuje podatność typu insecure direct object reference (IDOR), która umożliwia eskalację uprawnień. Dotyczy to wyłącznie instalacji lokalnych.
Oprogramowanie Beta10 nie zapewnia odpowiedniej kontroli autoryzacji w wielu obszarach aplikacji. Ta luka może umożliwić złośliwemu użytkownikowi, bez uwierzytelnienia, dostęp do prywatnych obszarów oraz obszarów przeznaczonych dla innych ról.
W aplikacji Logitime WebClock w wersjach do 5.43.0 występuje podatność na atak typu SQL Injection w domyślnej konfiguracji. Umożliwia to nieautoryzowanemu użytkownikowi wykonanie dowolnego kodu na serwerze bazy danych.
Zidentyfikowano problem w Fleet Server, gdzie polityki Fleet, które mogą zawierać wrażliwe informacje, były rejestrowane na poziomach logowania INFO i ERROR. Rodzaj wrażliwych informacji w dużej mierze zależy od aktywowanych integracji.
Podatność CVE-2025-23914 dotyczy deserializacji niezaufanych danych w Muzaara Google Ads Report, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Muzaara Google Ads Report od n/a do 3.1 włącznie.
W oprogramowaniu Synnefo Internet Management Software (IMS) w wersji 2023 i wcześniejszych występuje podatność na wstrzykiwanie SQL. Problem ten wynika z niewłaściwej walidacji danych wejściowych w określonym parametrze punktu końcowego API, co pozwala atakującemu manipulować zapytaniami SQL za pomocą spreparowanego wejścia.
Podatność CVE-2025-23953 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w Scriptonite, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy plików użytkowników w wersjach od n/a do 2.4.2.
Podatność CVE-2025-23942 dotyczy wtyczki WP Load Gallery, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych zagrożeń bezpieczeństwa.
Podatność CVE-2025-23932 dotyczy deserializacji niezaufanych danych w Marko-M Quick Count, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Quick Count od n/a do 3.00 włącznie.
W podatności CVE-2025-23931 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WordPress Local SEO w wersjach od n/a do 2.3.
Podatność CVE-2025-23921 dotyczy Multi Uploader dla Gravity Forms, umożliwiając nieograniczone przesyłanie plików z niebezpiecznymi typami. W wyniku tego atakujący może przesłać powłokę sieciową na serwer WWW.
Podatność CVE-2025-23918 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w przeglądarce plików Smallerik. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Klient Northern.tech Mender w wersjach 4.x przed 4.0.5 ma niewłaściwe uprawnienia, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych.
Mjolnir to narzędzie moderacyjne dla Matrix. W wersji 1.9.0 bot odpowiada na polecenia zarządzające z każdego pokoju, w którym jest członkiem, co może umożliwić użytkownikom, którzy nie są operatorami bota, korzystanie z jego funkcji, w tym komponentów administracyjnych serwera, jeśli są włączone.
Podatność CVE-2025-22723 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Barcode Scanner z modułem zarządzania zapasami i zamówieniami. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Wielokrotna karuzela Multiple Carousel w wersjach od n/a do 2.0 zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.
Podatność CVE-2024-51919 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Fancy Product Designer w wersjach od n/a do 6.4.3. Umożliwia to atakującym przesyłanie złośliwych plików na serwer.
W podatności CVE-2024-51888 występuje nieprawidłowe przypisanie uprawnień w wtyczce Homey Login Register, co umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.4.0 włącznie.
W podatności CVE-2024-51818 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Fancy Product Designer w wersjach od n/a do 6.4.3.

