Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka Werkstatt w wersji 4.7.2 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta uzyskanie nieautoryzowanego dostępu do funkcji lub danych.
Wtyczka Martfury - WooCommerce Marketplace dla WordPressa w wersji 3.2.8 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia ona użytkownikom z rolą subskrybenta uzyskanie nieautoryzowanego dostępu do funkcji lub danych, które powinny być dla nich niedostępne.
Wtyczka TheFox dla WordPressa w wersji 3.9.70 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) w funkcji Contributor. Umożliwia ona atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.
Wtyczka GeoDirectory w wersji 2.8.161 i starszych zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) z poziomu subskrybenta. Umożliwia to atakującemu z uprawnieniami subskrybenta wysyłanie żądań HTTP do wewnętrznych zasobów serwera.
Wtyczka Kirki w wersji 6.0.11 i starszych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do chronionych zasobów lub danych.
Wtyczka Advanced Contact form 7 DB w wersji 2.0.9 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Osoba z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Wtyczka Classified Listing dla WordPressa w wersji 5.4.2 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie nieautoryzowanych operacji.
Wtyczka JetReviews w wersji 3.0.0.1 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego skryptu do strony przez użytkownika z rolą subskrybenta.
Wtyczka Link Whisper Premium w wersji 2.9.0 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie operacji, do których nie powinni mieć uprawnień.
Wtyczka ALD – Dropshipping and Fulfillment for AliExpress and WooCommerce w wersji 2.2.0 i niższych zawiera lukę umożliwiającą nieuwierzytelnionemu atakującemu złamanie mechanizmu uwierzytelniania. Podatność ta pozwala na ominięcie procesu logowania i uzyskanie nieautoryzowanego dostępu do funkcji administracyjnych.
Wtyczka Hotel Booking Lite w wersji 6.0.3 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji przechowywanych w systemie.
Wtyczka ShortPixel Adaptive Images w wersji 3.11.3 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia to użytkownikowi o roli subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.
Wtyczka Tax Exempt for WooCommerce w wersji 1.9.3 i starszych zawiera podatność na ścieżkę klienta (Customer Path Traversal), która umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym.
Wtyczka Motors w wersjach do 5.6.80 zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może ominąć zabezpieczenia i uzyskać nieautoryzowany dostęp do funkcji lub danych.
u5CMS do wersji 12.8.8 zawiera podatność na odbity XSS przez parametr 'thanks' w wielu komponentach formularzy.
Wtyczka Corpkit w wersji 1.0.5 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji.
Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.
W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.
Biblioteka liboauth2 jest podatna na atak SSRF (Server-Side Request Forgery) w funkcji oauth2_jose_jwks_aws_alb_resolve(). Weryfikator AWS ALB odczytuje zarówno pole signer, jak i kid z niezweryfikowanego nagłówka JWT. Jeśli signer pasuje do skonfigurowanego ARN, wartość kid jest dołączana do alb_base_url bez kodowania URL ani sanityzacji ścieżki, a żądanie HTTP GET jest wysyłane przed weryfikacją podpisu.
Wtyczka Wappointment dla WordPressa do wersji 2.7.6 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Klucz autoryzacyjny `edit_key` jest generowany jako przewidywalny, niesolony hash MD5 z sekwencyjnego identyfikatora klienta, publicznie dostępnego znacznika czasu i małego identyfikatora personelu, co pozwala nieuwierzytelnionym atakującym na obliczenie go i anulowanie lub przełożenie wizyt innych użytkowników.

