Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność CVE-2025-26898 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem ten dotyczy wersji Traveler od n/a do poniżej 3.2.1.
Podatność CVE-2025-26873 dotyczy deserializacji niezaufanych danych w wtyczce Traveler od shinetheme. Problem ten występuje w wersjach Traveler od n/a do poniżej 3.2.1.
W podatności CVE-2025-26909 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP. Problem dotyczy wtyczki Hide My WP Ghost w wersjach od n/a do 5.4.01.
W wyniku niedawnej ucieczki z piaskownicy w Chrome (CVE-2025-2783), deweloperzy Firefox zauważyli podobny wzorzec w naszym kodzie IPC. Skompromitowany proces podrzędny mógłby spowodować, że proces nadrzędny zwróci niezamierzenie potężny uchwyt, co prowadzi do ucieczki z piaskownicy.
Wtyczka Export All Posts, Products, Orders, Refunds & Users dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do 2.13 włącznie, poprzez deserializację niezaufanego wejścia w funkcji 'returnMetaValueAsCustomerInput'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wersja 1.0.002 Build7 oprogramowania SCRIPT CASE zawiera podatność na manipulację odpowiedzią HTTP, która pozwala zdalnemu atakującemu na eskalację uprawnień poprzez odpowiednio skonstruowane żądanie.
Podatność CVE-2025-30524 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w module wyświetlania produktów katalogu. Problem ten dotyczy wersji Product Catalog od n/a do 1.0.4 włącznie.
W podatności CVE-2025-28942 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w bramce płatności Trust Payments dla WooCommerce. Problem ten dotyczy wersji bramki od n/a do 1.1.4 włącznie.
W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.
W podatności CVE-2025-28898 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce WP Multistore Locator. Problem dotyczy wersji od n/a do 2.5.2.
W podatności CVE-2025-28893 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w edytorze tekstu Govind Visual Text Editor. Problem dotyczy wersji edytora od n/a do 1.2.1 włącznie.
W podatności CVE-2025-26941 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Church Admin w wersjach od n/a do 5.0.18.
W Pagure odkryto podatność, która polega na wstrzykiwaniu argumentów w Git podczas pobierania historii repozytoriów. Może to prowadzić do zdalnego wykonania kodu na instancji Pagure.
Moduł zarządzania pamięcią systemu cFS (Core Flight System) Aquila NASA ma niebezpieczne uprawnienia, co może być wykorzystane do uzyskania zdalnego wykonania kodu (RCE) na platformie.
Problem w IIT Bombay, Mumbai, India w Bodhitree wersji cs101 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu.
W podatności CVE-2025-28904 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji Shamalli Web Directory Free. Problem dotyczy wersji Web Directory Free od n/a do 1.7.6 włącznie.
W module uwierzytelniania w Convivance StandVoice w wersjach od 4.5 do 6.2 występuje podatność na atak typu SQL injection, która umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą parametru GEST_LOGIN.
W Kubernetes odkryto problem bezpieczeństwa, który pozwala nieautoryzowanemu atakującemu z dostępem do sieci podów na wykonanie dowolnego kodu w kontekście kontrolera ingress-nginx. Może to prowadzić do ujawnienia sekretów dostępnych dla kontrolera.
W mechanizmie RBAC (kontrola dostępu oparta na rolach) opartym na Shiro w projekcie OpenDaylight Service Function Chaining (SFC) w wersji Sodium-SR4 i niższych występuje problem, który umożliwia atakującym wykonywanie uprzywilejowanych operacji za pomocą spreparowanego żądania.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce WP e-Commerce Style Email pozwala na wstrzykiwanie kodu. Problem ten dotyczy wersji wtyczki od n/a do 0.6.2 włącznie.

