| Blind SQL Injection w parametrze “changes__reference_id” | 9.3 (Critical) | CVE-2025-4568 | W oprogramowaniu 2ClickPortal wykryto podatność typu Blind SQL Injection w parametrze changes__reference_id. Niewłaściwa walidacja danych wejściowych umożliwia atakującym wykonywanie nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia poufnych informacji z bazy danych. | 2ClickPortal |
| Reflected XSS w parametrze “szukaj” | 5.1 (Medium) | CVE-2025-4379 | DobryCMS w wersjach 2.* i niższych jest podatny na atak typu Reflected Cross-Site Scripting (XSS). Niewłaściwa walidacja danych wejściowych w parametrze “szukaj” umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce ofiary po otwarciu specjalnie spreparowanego adresu URL. | DobryCMS |
| Remote Code Execution w RSForm!pro | 9.2 (Critical) | CVE-2025-30085 | Wykryto podatność typu zdalne wykonanie kodu (Remote Code Execution) w komponencie RSForm!Pro w wersjach od 3.0.0 do 3.3.14 dla Joomla. Problem dotyczy funkcji eksportu zgłoszeń i wymaga dostępu administracyjnego do tej opcji eksportu. | Joomla |
| SQL Injection w RSMediaGallery dla Joomla | 8.6 (High) | CVE-2025-27753 | Luka typu SQL Injection w komponencie RSMediaGallery (wersje 1.7.4 – 2.1.6) dla Joomla. Problem wynika z bezpośredniego użycia nieprzefiltrowanych danych wejściowych użytkownika w zapytaniach SQL wewnątrz komponentu dashboard. Pozwala to uwierzytelnionym atakującym na wstrzyknięcie złośliwego kodu SQL. | Joomla |
| SQL Injection w No Boss Calendar | 8.6 (High) | CVE-2025-49468 | Odkryto podatność typu SQL Injection w komponencie No Boss Calendar dla Joomla w wersjach przed 5.0.7. Podatność pozwala zdalnym uwierzytelnionym użytkownikom na wykonanie dowolnych poleceń SQL za pomocą parametru id_module. | Joomla |
| Stored XSS w RSTickets! | 8.5 (High) | CVE-2025-32465 | Wykryto podatność typu stored XSS (trwale zapisywany cross-site scripting) w komponencie RSTickets! dla Joomla, w wersjach od 1.9.12 do 3.3.0. Umożliwia atakującym wykonanie ataku XSS poprzez przesłanie odpowiednio spreparowanego ładunku (payloadu). | Joomla |
| Path Traversal w RSFirewall dla Joomla | 8.2 (High) | CVE-2025-27445 | Luka typu Path Traversal w komponencie RSFirewall (wersje 2.9.7 – 3.1.5) dla Joomla. Uwierzytelnieni użytkownicy mogą wykorzystać niedostatecznie filtrowane dane wejściowe, aby odczytywać dowolne pliki spoza katalogu głównego Joomla, stosując ciągi w stylu ../. | Joomla |
| Path Traversal w Admiror Gallery | 7.5 (High) | CVE-2025-22205 | Luka typu path traversal w rozszerzeniu Admiror Gallery (Joomla 4.x), pozwala na dostęp do plików poza katalogiem aplikacji. | Joomla |
| Stored XSS w RSMail! dla Joomla | 6.7 (Medium) | CVE-2025-30084 | Luka typu Stored XSS w komponencie RSMail! (wersje 1.19.20 – 1.22.26) dla Joomla. Atakujący z odpowiednimi uprawnieniami może wstrzyknąć złośliwy kod JavaScript do pól tekstowych w panelu administracyjnym. Skrypt zostanie zapisany i później wykonany w przeglądarce każdego użytkownika, który wejdzie w interakcję z tym polem (np. kliknie w link). | Joomla |
| SQL Injection w RSMediaGallery! | 6.7 (Medium) | CVE-2025-32466 | Wykryto podatność typu SQL Injection w komponencie RSMediaGallery! dla Joomla, w wersjach od 1.7.4 do 2.1.7. Problem występuje w komponencie dashboard, gdzie dane wprowadzone przez użytkownika nie są odpowiednio filtrowane przed zapisaniem i wyświetleniem. Atakujący może wstrzyknąć złośliwy kod JavaScript w pola tekstowe lub inne miejsca do wprowadzania danych, a skrypt zostanie uruchomiony w przeglądarce każdego użytkownika, który kliknie spreparowany tekst w panelu. | Joomla |
| Stored XSS w RSBlog dla Joomla | 6.5 (Medium) | CVE-2025-27754 | Luka typu Stored XSS w komponencie RSBlog (wersje 1.11.6 – 1.14.4) dla Joomla. Uwierzytelnieni użytkownicy mogą wstrzykiwać złośliwy kod JavaScript, który jest zapisywany przez aplikację i wykonywany później podczas przeglądania zainfekowanych zasobów przez innych użytkowników. | Joomla |
| Reflected XSS w RSform!Pro | 4.8 (Medium) | CVE-2025-27444 | Luka typu Reflected XSS w komponencie RSform!Pro dla Joomla, umożliwiająca atakującym wstrzyknięcie i wykonanie złośliwego kodu JavaScript poprzez odpowiednio spreparowane żądania HTTP. | Joomla |
| Słabe tokeny resetowania haseł | 9.1 (Critical) | CVE-2025-3895 | Tokeny używane do resetowania haseł w oprogramowaniu MegaBIP są generowane w oparciu o niewielką przestrzeń losowych wartości połączonych z wartością możliwą do zapytania. Pozwala to nieuwierzytelnionemu atakującemu, który zna loginy użytkowników, na odgadnięcie tych tokenów metodą brute force i zmianę haseł do kont (w tym także kont administratorów). | MegaBIP |
| SQL Injection w module uzasadnień | 8.6 (High) | CVE-2025-3893 | Podczas edycji stron zarządzanych przez MegaBIP, użytkownik z wysokimi uprawnieniami jest proszony o podanie uzasadnienia dla wykonania tej operacji. Wprowadzone dane nie są poprawnie sanityzowane, co prowadzi do podatności typu SQL Injection. | MegaBIP |
| Stored XSS w edytorze tekstu | 4.8 (Medium) | CVE-2025-3894 | Edytor tekstu wbudowany w oprogramowanie MegaBIP nie neutralizuje danych wejściowych użytkownika, umożliwiając przeprowadzenie ataku Stored XSS na innych użytkownikach. Do korzystania z edytora wymagane są wysokie uprawnienia. | MegaBIP |
| Stored XSS w FooGallery #2 | 6.4 (Medium) | CVE-2024-2122 | Luka w FooGallery (do 2.4.15) umożliwiająca wstrzyknięcie złośliwego JS przez URL galerii. | WordPress |
| Stored XSS w FooGallery | 5.4 (Medium) | CVE-2024-2081 | Stored XSS przez niepoprawne filtrowanie danych wejściowych w akcji foogallery_attachment_modal_save (do wersji 2.4.14). | WordPress |
