Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w API MStore FluxBuilder umożliwia obejście uwierzytelnienia poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła.
W wersjach WorkScout-Core do 1.7.11 występuje podatność umożliwiająca nieautoryzowane usunięcie dowolnego pliku.
W wersjach School Management <= 93.1.0 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do danych, do których nie powinni mieć dostępu.
Wtyczka myCred dla WordPressa, odpowiedzialna za zarządzanie punktami w programach lojalnościowych, jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut 'wrap' Shortcode. Problem ten występuje we wszystkich wersjach do 3.1 włącznie z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka Permalink Manager Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuły postów w interfejsie Edytora URI w panelu administracyjnym. Problem dotyczy wszystkich wersji do i włącznie z 2.5.3.3 z powodu niewystarczającego zabezpieczenia wyjścia.
Wtyczka LearnPress dla WordPressa przed wersją 4.3.7 nie zabezpiecza kontekstu `edit` na jednym ze swoich punktów końcowych REST, co pozwala nieautoryzowanym użytkownikom na uzyskanie informacji o rolach użytkowników, pełnej mapie uprawnień, dodatkowych uprawnieniach, lokalizacji oraz dacie rejestracji za pomocą odpowiednio skonstruowanego żądania.
Wtyczka WP Magnific Popup dla WordPressa w wersji do 1.0 nieprawidłowo ucieka linki kontrolowane przez użytkownika przed ich wstrzyknięciem do DOM, co pozwala na ataki typu Stored Cross-Site Scripting.
W systemie OpenBSD przed wersją 076e2b1 występuje luka w funkcji sppp_pap_input, która umożliwia obejście uwierzytelniania poprzez wykorzystanie określonych zerowych wartości długości.
Wersje JetFormBuilder do 3.6.1 zawierają podatność umożliwiającą eskalację uprawnień subskrybenta.
Wtyczka WooCommerce Anti-Fraud w wersjach do 7.2.6 zawiera lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do funkcji.
Wtyczka WooCommerce Dropshipping w wersjach do 5.2.4 zawiera lukę w zabezpieczeniach, która pozwala na nieautoryzowane przejęcie sesji użytkownika.
Postiz to narzędzie do planowania postów w mediach społecznościowych oparte na AI. W wersjach przed 2.21.8 istniał nieautoryzowany punkt końcowy, który akceptował podpisany token i stosował skutki egzekucji subskrypcji bez weryfikacji celu tokena.
W wersjach 1.56.0 do 1.101.0 oraz 2.0.0b1 i 2.0.0b2 frameworka Pydantic AI, blokada metadanych w chmurze mogła zostać ominięta poprzez kodowanie adresu IP metadanych w formie przejściowej IPv6, co prowadziło do ujawnienia krótkoterminowych poświadczeń IAM w chmurze. Poprzednia poprawka nie dekodowała wszystkich form przejściowych IPv6, co skutkowało luką w zabezpieczeniach.
W Apache DolphinScheduler przed wersją 3.4.2 uwierzytelnieni użytkownicy mogą uzyskać dostęp do instancji alertów związanych z grupami alertów, do których nie mają uprawnień.
Runtipi w wersjach 4.9.1 do 4.9.3 umożliwia odczyt dowolnych plików przez nieautoryzowany punkt końcowy, co prowadzi do ujawnienia lokalnych plików z kontenera Runtipi. Problem wynika z niewłaściwego sprawdzania ścieżek dla symbolicznych linków w repozytoriach aplikacji.
W WPBakery Page Builder w wersjach do 8.7.2 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów subskrybentów.
W frameworku CarrierWave, w wersjach przed 2.2.7 i 3.1.3, sprawdzenie denylisty content_type_denylist nie poprawnie obsługuje metaznaki regex w wpisach tekstowych, co prowadzi do braku blokowania zamierzonych typów zawartości. W rezultacie aplikacje mogą być narażone na ataki XSS poprzez przesyłanie plików SVG zawierających złośliwy JavaScript.
Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom na dostęp do informacji o instancjach workflow, które należą do projektów, do których nie mają uprawnień.
Podatność związana z nieprawidłową autoryzacją pozwala użytkownikom z uprawnieniami logowania do systemu na usuwanie definicji zadań w nieautoryzowanych projektach.
Wersje CP Client Portal (Pro) do 5.6.2 mają podatność umożliwiającą pobieranie dowolnych plików przez nieautoryzowanych użytkowników.

