Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.
Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.
Podatność SQL Injection w produkcie Destekz firmy Raera - Ankara Web Design and Digital Advertising Agency umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Luka występuje we wszystkich wersjach do 02062026 włącznie. Producent nie wspiera już tego produktu.
Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka przez atrybut linku dynamicznego 'linkMetaFieldType' w wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Motyw Zakra dla WordPressa do wersji 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w rejestracji pól meta (zakra_menu_item_color, zakra_menu_item_hover_color, zakra_menu_item_active_color) przez REST API pozwala atakującym z dostępem na poziomie Współautora i wyższym na wstrzyknięcie złośliwego skryptu, który wykonuje się przy każdej wizycie na zainfekowanej stronie.
Podatność typu Path Traversal w bibliotece Apache Lucene.Net.Replicator umożliwia nieograniczone odczytywanie plików poza dozwolonym katalogiem. Problem dotyczy wersji od 4.8.0-beta00005 do 4.8.0-beta00017.
Podatność w BIOS-ie platform Dell Client umożliwia ominięcie uwierzytelniania przez słabość pierwotną. Nieuwierzytelniony atakujący z fizycznym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do ujawnienia informacji.
Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPressa do wersji 2.8.16 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez atrybut 'data' shortcodu [adinserter]. Funkcja replace_ai_tags() przetwarza wzór {reusable-block-N} i wywołuje get_post_field('post_content', N) bez weryfikacji uprawnień użytkownika, bez ograniczenia typu posta do 'wp_block' i bez sprawdzania statusu posta. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym odczytanie pełnej treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, usuniętych i chronionych hasłem, należących do innych użytkowników, poprzez umieszczenie shortcodu we własnym poście i jego podgląd.
Wtyczka CURCY – Multi Currency for WooCommerce dla WordPressa w wersjach do 2.2.14 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnych shortcode'ów. Problem wynika z braku walidacji wartości przed przekazaniem jej do funkcji do_shortcode.
Wtyczka LatePoint do WordPressa, w wersjach do 5.6.1 włącznie, zawiera podatność na ominięcie autoryzacji. Niezautoryzowany atakujący może modyfikować dane osobowe (imię, nazwisko, numer telefonu i notatki) istniejących klientów, w tym kont administratorów, poprzez przesłanie formularza rezerwacji ze znanym adresem e-mail. Warunkiem jest włączenie opcji rezerwacji dla gości.
Wtyczka Quiz and Survey Master (QSM) dla WordPressa do wersji 11.1.4 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelniony atakujący z dostępem na poziomie współautora lub wyższym może modyfikować quizy, nadpisywać strony wyników oraz przekierowywać powiadomienia e-mail na kontrolowane przez siebie adresy.
Wtyczka Comments – wpDiscuz dla WordPressa w wersjach do 7.6.56 zawiera podatność na trwałe ataki XSS. Wynika to z braku odpowiedniego kodowania danych wyjściowych w funkcji getCommentAuthor(), która bezpośrednio wstawia wartość pola 'Website' komentatora do atrybutów HTML w apostrofach, bez użycia esc_url() lub esc_attr(). Umożliwia to niezautoryzowanym atakującym wstrzyknięcie dowolnego skryptu, który wykona się przy każdej wizycie użytkownika na zainfekowanej stronie.
Podatność w Puppet resource_api (dostarczanym z Puppet Core 8.x oraz Puppet Enterprise 2023.8.x i 2025.x) powoduje, że flaga wrażliwości (sensitive) nie jest zachowywana dla parametrów zdefiniowanych przez resource-api. W rezultacie wartości takie jak hasła są przechowywane w postaci jawnego tekstu w lokalnym cache'u transakcji agenta.
Wtyczka RTMKit dla WordPressa do wersji 2.0.7 zawiera podatność na trwałe ataki XSS w widżecie Advanced Heading. Wynika to z braku odpowiedniego kodowania wyjścia parametru 'Background Text' w funkcji render(), co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na wstrzykiwanie dowolnych skryptów.
Podatność w Apache Lucene.Net (Lucene.Net.Analysis.Common) pozwala na atak XML External Entity (XXE). Luka występuje w wersjach od 4.8.0-beta00005 do 4.8.0-beta00017.
Podatność typu Path Traversal w bibliotece Lucene.Net.Replicator umożliwia nieautoryzowany dostęp do plików poza dozwolonym katalogiem. Problem dotyczy wersji od 4.8.0-beta00005 do 4.8.0-beta00017.
W HPLIP (HP Linux Imaging and Printing Software) znaleziono lukę będącą niekompletną poprawką dla CVE-2026-8631. Podatność ta może pozwolić zdalnemu atakującemu na eskalację uprawnień lub zdalne wykonanie kodu poprzez przepełnienie liczby całkowitej w ścieżce przetwarzania hpcups podczas obsługi specjalnie spreparowanych danych wydruku.
Podatność w libcurl powoduje, że podczas transferów SCP lub SFTP z użyciem callbacku CURLOPT_SSH_KEYFUNCTION, aplikacja może akceptować niezaufany serwer. Gdy serwer przedstawia klucz hosta innego typu niż zapisany w pliku known_hosts, mechanizm callbacku nie wymusza odrzucenia niezgodności, co pozwala na udane połączenie bez ostrzeżenia.
Podatność w bibliotece libcurl powoduje, że nagłówek HTTP `Referer:` utrzymuje się nawet po jawnym wyczyszczeniu. Zgodnie z dokumentacją, przekazanie NULL do opcji `CURLOPT_REFERER` powinno wyłączyć nagłówek, ale opcja nie czyści wewnętrznego stanu. W rezultacie poprzednia wartość referera jest błędnie ponownie używana i wysyłana w kolejnych żądaniach, co może prowadzić do wycieku poufnych informacji do niezamierzonych serwerów.
W bibliotece libcurl stwierdzono podatność polegającą na wysyłaniu danych żądania przed weryfikacją certyfikatu SSL/TLS w przypadku użycia buforowanej sesji SSL i włączonej funkcji wczesnych danych (early data) przy przejściu na HTTP/3. Atakujący może podmienić serwer na nieautoryzowaną maszynę bez ważnego certyfikatu, co prowadzi do potencjalnego wycieku wrażliwych informacji.

