Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-57689
Średnie

Wtyczka Werkstatt w wersji 4.7.2 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta uzyskanie nieautoryzowanego dostępu do funkcji lub danych.

CVE-2026-57685
Średnie

Wtyczka Martfury - WooCommerce Marketplace dla WordPressa w wersji 3.2.8 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia ona użytkownikom z rolą subskrybenta uzyskanie nieautoryzowanego dostępu do funkcji lub danych, które powinny być dla nich niedostępne.

CVE-2026-57684
Średnie

Wtyczka TheFox dla WordPressa w wersji 3.9.70 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia ona atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57681
Średnie

Wtyczka GeoDirectory w wersji 2.8.161 i starszych zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) z poziomu subskrybenta. Umożliwia to atakującemu z uprawnieniami subskrybenta wysyłanie żądań HTTP do wewnętrznych zasobów serwera.

CVE-2026-57680
Średnie

Wtyczka Kirki w wersji 6.0.11 i starszych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do chronionych zasobów lub danych.

CVE-2026-57669
Średnie

Wtyczka Advanced Contact form 7 DB w wersji 2.0.9 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Osoba z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.

CVE-2026-57355
Średnie

Wtyczka Classified Listing dla WordPressa w wersji 5.4.2 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie nieautoryzowanych operacji.

CVE-2026-57354
Średnie

Wtyczka JetReviews w wersji 3.0.0.1 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego skryptu do strony przez użytkownika z rolą subskrybenta.

CVE-2026-57353
Średnie

Wtyczka Link Whisper Premium w wersji 2.9.0 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie operacji, do których nie powinni mieć uprawnień.

CVE-2026-57352
Średnie

Wtyczka ALD – Dropshipping and Fulfillment for AliExpress and WooCommerce w wersji 2.2.0 i niższych zawiera lukę umożliwiającą nieuwierzytelnionemu atakującemu złamanie mechanizmu uwierzytelniania. Podatność ta pozwala na ominięcie procesu logowania i uzyskanie nieautoryzowanego dostępu do funkcji administracyjnych.

CVE-2026-57347
Średnie

Wtyczka Hotel Booking Lite w wersji 6.0.3 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji przechowywanych w systemie.

CVE-2026-57342
Średnie

Wtyczka ShortPixel Adaptive Images w wersji 3.11.3 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia to użytkownikowi o roli subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-49779
Średnie

Wtyczka Tax Exempt for WooCommerce w wersji 1.9.3 i starszych zawiera podatność na ścieżkę klienta (Customer Path Traversal), która umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym.

CVE-2026-27433
Średnie

Wtyczka Motors w wersjach do 5.6.80 zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może ominąć zabezpieczenia i uzyskać nieautoryzowany dostęp do funkcji lub danych.

CVE-2026-14449
Średnie

u5CMS do wersji 12.8.8 zawiera podatność na odbity XSS przez parametr 'thanks' w wielu komponentach formularzy.

CVE-2025-69132
Średnie

Wtyczka Corpkit w wersji 1.0.5 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji.

CVE-2025-66076
Średnie

Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.

CVE-2026-54431
Średnie

W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.

CVE-2026-54430
Średnie

Biblioteka liboauth2 jest podatna na atak SSRF (Server-Side Request Forgery) w funkcji oauth2_jose_jwks_aws_alb_resolve(). Weryfikator AWS ALB odczytuje zarówno pole signer, jak i kid z niezweryfikowanego nagłówka JWT. Jeśli signer pasuje do skonfigurowanego ARN, wartość kid jest dołączana do alb_base_url bez kodowania URL ani sanityzacji ścieżki, a żądanie HTTP GET jest wysyłane przed weryfikacją podpisu.

CVE-2026-9188
Średnie

Wtyczka Wappointment dla WordPressa do wersji 2.7.6 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Klucz autoryzacyjny `edit_key` jest generowany jako przewidywalny, niesolony hash MD5 z sekwencyjnego identyfikatora klienta, publicznie dostępnego znacznika czasu i małego identyfikatora personelu, co pozwala nieuwierzytelnionym atakującym na obliczenie go i anulowanie lub przełożenie wizyt innych użytkowników.

PoprzedniaStrona 12 z 535Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS