Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka 2Download Connector dla 2DL Hosted Checkout w WordPressie jest podatna na nieautoryzowany dostęp we wszystkich wersjach do 0.1.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkowników, co umożliwia nieautoryzowanym atakującym przeglądanie danych subskrypcyjnych klientów.
Wtyczka STRABL – rozwiązanie do realizacji zamówień dla WordPressa jest podatna na brak uwierzytelnienia we wszystkich wersjach do 4.5 włącznie. Wtyczka rejestruje punkt końcowy webhooka REST API, który pozwala na przyjmowanie wszystkich przychodzących żądań bez jakichkolwiek kontroli uwierzytelnienia.
Wtyczka WP Hotel Booking dla WordPressa w wersjach przed 2.3.1 nie wymusza sprawdzania uprawnień w kilku swoich handlerach AJAX, co pozwala uwierzytelnionym użytkownikom z poziomem dostępu Subskrybenta na przeglądanie rezerwacji innych użytkowników, enumerowanie aktywnych kuponów oraz odczytywanie danych cenowych.
Wtyczka Bogo dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.9.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie subskrybenta i wyżej wydobycie surowego tytułu, treści, fragmentu oraz hasła dowolnego prywatnego, roboczego lub chronionego hasłem wpisu.
Wtyczka Royal Addons for Elementor dla WordPressa jest podatna na nieautoryzowany odczyt plików w wersjach od 1.7.1058 do 1.7.1059. Problem wynika z funkcji wpr_get_csv_handle(), która nie sprawdza poprawności adresu URL i pozwala atakującym na odczyt zawartości dowolnego pliku, który jest dostępny dla procesu PHP.
Wtyczka Woosa – Marktplaats dla WooCommerce w WordPressie jest podatna na odczyt dowolnych plików poprzez przejście ścieżki w wersjach do 2.0.4 włącznie. Problem wynika z niewystarczającej sanitizacji ścieżek w funkcji render_logs_ui(), która przyjmuje nazwę pliku zakodowaną w base64 i łączy ją bezpośrednio z katalogiem logów wtyczki.
W libexpat przed wersją 2.8.2 występuje przepełnienie bufora na stercie w funkcji doProlog w pliku xmlparse.c. Problem ten wynika z niewłaściwego zarządzania reallocacją tablicy pomocniczej, gdy struktury danych są współdzielone pomiędzy parserami.
W bibliotece libexpat przed wersją 2.8.2 brakuje śledzenia głębokości wywołań handlerów dla wywołań XML_ResumeParser w przypadkach naruszenia polityki. Może to prowadzić do sytuacji use-after-free.
Wtyczka Advanced Import dla WordPressa jest podatna na atak typu Server-Side Request Forgery (SSRF) w wersjach do 1.4.6 włącznie. Problem wynika z braku walidacji adresu URL dostarczonego przez użytkownika w funkcji demo_download_and_unzip(), co pozwala na wysyłanie żądań do wewnętrznych zasobów sieciowych.
Wtyczka Appointment Booking Calendar dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe etykiety pól rezerwacji we wszystkich wersjach do 1.4.4 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wersje pakietu ts-deepmerge przed 8.0.0 są podatne na nieobsłużony wyjątek z powodu niewłaściwego przetwarzania wbudowanych metod Object.prototype (takich jak toString, valueOf). Gdy dane wejściowe kontrolowane przez użytkownika zawierają te klucze z wartościami, które nie są funkcjami, wynikowy obiekt scalony staje się uszkodzony, co prowadzi do błędów typu TypeError.
Wtyczka Blocksy Companion dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 2.1.45 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka BetterDocs dla WordPressa jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut blockId bloku Gutenberg w wersjach do 4.5.3. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w metodzie CategorySlateLayout::render().
Wtyczka Bit integrations – Form Integration, Webhook, Spreadsheets, CRM, LMS & Email Automation dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do 2.8.7 włącznie. Atakujący bez uwierzytelnienia mogą wysyłać żądania HTTP do dowolnych lokalizacji, co pozwala na dostęp do wewnętrznych usług.
Zidentyfikowano podatność w wersjach 1.38.0 do 1.39.0 armeria-xds, gdzie DataSourceStream w module xDS może bez ograniczeń rozwiązywać nazwy plików i zmienne środowiskowe dostarczane przez kontroler xDS.
Wtyczka Classified Listing – Classified ads & Business Directory dla WordPress jest podatna na brak autoryzacji we wszystkich wersjach do 5.4.2 włącznie. Problem wynika z braku sprawdzenia uprawnień w obsłudze AJAX gallery_image_update_as_feature, co pozwala uwierzytelnionym atakującym na zmianę wyróżnionego obrazu dowolnych ogłoszeń, których nie posiadają.
Wersje Canonical MicroCeph z toru squid i tentacle są podatne na problem z przechodzeniem ścieżek w API remote-import. Użytkownicy posiadający zaufany certyfikat mTLS klastra lub token dołączania mogą manipulować plikami w zaimportowanym zdalnym klastrze.
Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 3.1.39 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na przetwarzanie żądań SAR z wykorzystaniem dowolnego adresu e-mail ofiary.
Wtyczka User Admin Simplifier dla WordPressa jest podatna na atak typu Cross-Site Request Forgery (CSRF) w wersjach do 3.0.0 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji useradminsimplifier_options_page, co pozwala nieautoryzowanym atakującym na resetowanie i trwałe usuwanie konfiguracji menu oraz paska administracyjnego użytkowników.
Atakujący w zasięgu komunikacji BLE może zmonopolizować jedyny dostępny slot połączenia BLE urządzenia, uniemożliwiając legalnym użytkownikom lub aplikacjom nawiązanie połączenia.

