Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-57345
Wysokie

Wtyczka Internal Links Manager w wersji 3.0.3 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary.

CVE-2026-57344
Wysokie

Wtyczka Classified Listing dla WordPressa w wersji 5.4.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Oznacza to, że atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-57343
Wysokie

Wtyczka Real Estate 7 w wersji 3.5.9 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-56037
Wysokie

Wtyczka Themify Popup dla WordPressa zawiera podatność na deserializację niezaufanych danych, umożliwiającą wstrzyknięcie obiektu. Luka występuje we wszystkich wersjach do 1.4.3 włącznie.

CVE-2026-42382
Wysokie

Wtyczka Audrey w wersji 1.5 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez konieczności logowania.

CVE-2026-39448
Wysokie

Wtyczka NOWPayments for WooCommerce w wersji 1.4.0 i starszych zawiera lukę w zabezpieczeniach polegającą na nieuwierzytelnionym, złamanym dostępie (Broken Access Control). Osoba atakująca bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do funkcji lub danych.

CVE-2026-27430
Wysokie

Wtyczka TheFox w wersjach do 3.9.76 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27426
Wysokie

Wtyczka Automotive Car Dealership Business w wersjach do 13.3.3 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27425
Wysokie

Wtyczka Automotive Listings w wersji 18.6 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27414
Wysokie

Wtyczka Werkstatt dla WordPressa w wersji 4.8.3 i starszych zawiera podatność na wstrzykiwanie obiektów PHP (PHP Object Injection) przez mechanizm contributor. Umożliwia to atakującemu przesłanie złośliwych danych, które mogą prowadzić do zdalnego wykonania kodu.

CVE-2026-27412
Wysokie

Wtyczka Pearl - Corporate Business w wersji 3.4.10 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez wymagania uwierzytelnienia.

CVE-2026-27408
Wysokie

Wtyczka NativeChurch w wersjach do 4.8.8.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27404
Wysokie

W systemie LMS w wersji 9.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27402
Wysokie

Wtyczka Kids Life | Children School dla WordPress w wersji 5.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27060
Wysokie

Wtyczka ARMember Premium w wersji 7.0 i starszych zawiera podatność na wstrzykiwanie obiektów PHP przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwy obiekt PHP, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-11946
Wysokie

Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę GetEndpoints Discovery Service w bibliotece open62541. Pole endpointUrl w żądaniu GetEndpointsRequest nie jest walidowane pod kątem długości, co pozwala na zadeklarowanie dowolnie dużego ciągu znaków (do ~4,09 GB) dostarczanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bez ograniczeń aż do czasu wygaśnięcia SecureChannel.

CVE-2025-69156
Wysokie

W motywie WordPress Kids Zone - Children w wersji 5.4 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69155
Wysokie

W motywie WordPress Fitness Zone w wersji 5.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69154
Wysokie

W motywie WordPress Beauty Salon firmy SpaLab w wersji 6.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69153
Wysokie

Wtyczka Trendy Travel w wersji 6.7 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

PoprzedniaStrona 11 z 3327Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS