CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Wtyczka Tiled Gallery Carousel Without JetPack dla WordPressa jest podatna na przechowywane ataki typu cross-site scripting (XSS) poprzez parametr 'data-image-title' we wszystkich wersjach do 3.1 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
W podatności 'Unsafe Reflection' w Apache Calcite, zewnętrznie kontrolowane dane wejściowe mogą być użyte do wyboru klas lub kodu. Problem ten dotyczy wersji Apache Calcite od 1.5.0 do przed 1.42.
Zidentyfikowano podatność na niewłaściwą autoryzację w Apache Kafka. Implementacja API CONSUMER_GROUP_DESCRIBE (69) weryfikuje operację DESCRIBE na zasobie GROUP zamiast operacji READ, co może prowadzić do błędnej konfiguracji list kontroli dostępu (ACL) i niezamierzonych postaw bezpieczeństwa.
Wirtualna Uczelnia jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) z powodu niebezpiecznego przetwarzania parametru locale w wielu punktach końcowych. Atakujący może stworzyć złośliwy link z osadzonym JavaScriptem w parametrze locale i wysłać go do ofiary.
W podatności CVE-2026-10549 występuje luka w filtrze LDAP w bazie danych Yandex przed wersją 25.3.1.25, która pozwala zdalnemu atakującemu z ważnymi poświadczeniami LDAP na ominięcie kontroli członkostwa w grupach, co prowadzi do nieautoryzowanego dostępu do bazy danych.
W ThimPress Thim Core występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Thim Core od n/a do 2.3.3.
W podatności CVE-2025-53302 w Anton Shevchuk Constructor brakuje odpowiednich mechanizmów autoryzacji, co pozwala na dostęp do funkcji, które nie są właściwie ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji Constructor od n/a do 1.6.5.
W Printeers Print & Ship występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.17.0.
Wtyczka Remove NoFollow Commenter URL dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji gmz_comment_settings_save.
Wtyczka Google Plus One Bottom dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji googlePlusOneAdmin.
Wtyczka Laiser Tag dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.2.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji addOptionsPageFields.
Wtyczka Tectite Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.3. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji admin_init.
Wtyczka JTL-Connector dla WooCommerce w WordPressie jest podatna na brak autoryzacji w wersjach do 2.4.1 włącznie. Problem wynika z braku sprawdzania uprawnień i weryfikacji nonce w akcjach admin_post_settings_save_woo-jtl-connector oraz wp_ajax_downloadJTLLogs i wp_ajax_clearJTLLogs.
Wtyczka DeMomentSomTres Shortcodes dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'callout' we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów 'width' i 'align' w funkcji st_callout().
Wtyczka Remove meta boxes per user role dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.01. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie 'remove-meta-boxes-per-user-role'.
Wtyczka ZeM STL dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) za pomocą shortcode'a [zemstl] we wszystkich wersjach do i włącznie z 1.0. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów shortcode'a dostarczanych przez użytkowników, takich jak 'url', 'color' i 'bgcolor'.
Wtyczka Easy Cart dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'add_to_cart' we wszystkich wersjach do i włącznie z 1.8. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.
Wtyczka BirdSeed dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do łącznie 2.2.0. Problem wynika z braku walidacji nonce w funkcji birdseed_plugin_settings_page(), co pozwala na zmianę ustawienia tokena BirdSeed przez nieautoryzowanych atakujących.
Wtyczka Word Replacer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'replacement' we wszystkich wersjach do i włącznie z 0.4. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych.
Wtyczka hiWeb Migration Simple dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'new_domain' we wszystkich wersjach do i włącznie z 2.0.0.1, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach.

