Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność CVE-2025-68986 w Miion od zozothemes pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Miion od n/a do 1.2.7 włącznie.
Podatność CVE-2025-68910 w Blogzee pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji Blogzee od n/a do 1.0.5.
Podatność CVE-2025-68909 w motywie Blogistic pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Dotyczy to wersji Blogistic od n/a do 1.0.5.
W podatności CVE-2025-68869 występuje nieprawidłowe przypisanie uprawnień w projekcie zarządzania zadaniami LazyTasks od LazyCoders LLC, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 1.2.37 włącznie.
W podatności CVE-2025-68857 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Paid Downloads w wersjach od n/a do 3.15.
W podatności CVE-2025-68034 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce CleverReach® WP. Problem ten dotyczy wersji CleverReach® WP od n/a do 1.5.21.
W StackWC Order Listener dla WooCommerce występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Order Listener dla WooCommerce od n/a do 3.6.1.
W podatności CVE-2025-68015 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w aplikacji Vollstart Event Tickets z funkcją skanera biletów. Problem ten dotyczy wersji Event Tickets z funkcją skanera biletów od n/a do 2.8.5 włącznie.
Podatność CVE-2025-68001 dotyczy g-FFL Checkout, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji g-FFL Checkout od n/a do 2.1.0 włącznie.
Podatność CVE-2025-67968 dotyczy systemu Real Homes CRM, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. W wyniku tego, złośliwe pliki mogą być wykorzystane w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2025-67945 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w integracji MailerLite z WooCommerce. Problem ten dotyczy wersji od n/a do 3.1.2.
W podatności CVE-2025-67944 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.1.8. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.
Podatność CVE-2025-67617 dotyczy deserializacji niezaufanych danych w aplikacji Consult Aid, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Consult Aid od n/a do 1.4.3 włącznie.
Podatność CVE-2025-62056 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce News Event w blazethemes. Problem ten występuje w wersjach od n/a do 1.0.1 włącznie.
Podatność CVE-2025-62050 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w systemie Blogmatic. Problem ten występuje w wersjach od n/a do 1.0.3 włącznie.
Podatność CVE-2025-50002 w Farost Energia pozwala na nieograniczone przesyłanie plików z niebezpiecznymi typami, co umożliwia przesłanie powłoki sieciowej na serwerze WWW. Problem ten dotyczy wersji Energia od n/a do 1.1.2 włącznie.
W podatności CVE-2025-49055 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce WP Lead Capturing Pages w wersjach od n/a do 2.5.
NervesHub to usługa internetowa umożliwiająca zarządzanie aktualizacjami oprogramowania urządzeń w terenie. Wersje od 1.0.0 do 2.3.0 zawierały podatność, która pozwalała atakującym na łamanie tokenów API użytkowników z powodu przewidywalnego formatu tych tokenów, co mogło prowadzić do nieautoryzowanego dostępu do kont użytkowników.
MeetingHub opracowany przez HAMASTAR Technology ma podatność na arbitralne przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie backdoorów w postaci powłok webowych, co umożliwia wykonanie dowolnego kodu na serwerze.
Wtyczka LA-Studio Element Kit dla Elementora w WordPressie jest podatna na tworzenie użytkowników administracyjnych we wszystkich wersjach do i włącznie z 1.5.6.3. Problem wynika z funkcji 'ajax_register_handle', która nie ogranicza ról użytkowników, jakie mogą być przypisane podczas rejestracji.

