Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w pluginach Mattermost w wersjach do 11.6, 10.18.11, 11.3.6 i 11.6.5.0 polega na braku oczyszczania odpowiedzi błędów z API OpenAI przed ich zapisaniem w logach. Umożliwia to użytkownikowi mającemu dostęp do logów serwera lub pakietów wsparcia odczytanie lub częściowe odtworzenie klucza API OpenAI poprzez analizę wpisów w pliku mattermost.log generowanych podczas nieudanych uwierzytelnień.
Wtyczka Groundhogg dla WordPress w wersji 4.5 i starszych zawiera podatność na wstrzykiwanie SQL w module przedstawiciela handlowego. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.
Podatność typu Insecure Direct Object References (IDOR) w wtyczce GravityView w wersjach do 3.0.0 umożliwia nieuwierzytelnionemu atakującemu dostęp do prywatnych danych. Luka wynika z braku weryfikacji uprawnień przy odwołaniach do obiektów.
Podatność wtyczki Bopo – WooCommerce Product Bundle Builder w wersji 1.1.6 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Luka wynika z braku odpowiedniego zabezpieczenia endpointów API lub mechanizmów ekspozycji danych.
Wtyczka Recipe Maker For Your Food Blog od Zip Recipes w wersji 8.2.7 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórcę (Contributor SQL Injection).
Podatność na wstrzykiwanie SQL w komponencie Contributor wtyczki Contest Gallery w wersjach do 30.0.0. Umożliwia atakującemu manipulację zapytaniami do bazy danych poprzez nieprawidłowo zabezpieczone dane wejściowe.
Wtyczka WPComplete w wersjach do 2.9.5.5 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla wyższych ról.
Wtyczka Booking and Rental Manager w wersji 2.7.1 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji zarządzania rezerwacjami i wynajmem.
Wtyczka Paid Memberships Pro - Add Member From Admin w wersji 0.7.2 i starszych jest podatna na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście administratora, bez konieczności posiadania sesji uwierzytelniającej.
Podatność umożliwia administratorowi dowolne przesyłanie plików w systemie TemplateSpare w wersjach do 4.2.0 włącznie. Atakujący z uprawnieniami administratora może wgrać złośliwy plik na serwer.
Wtyczka Gmail SMTP w wersji 1.2.3.19 i starszych zawiera podatność na nieuwierzytelnione Cross-Site Request Forgery (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście zalogowanego administratora.
Podatność typu Cross Site Scripting (XSS) w komponencie Hester Core w wersjach do 1.1.8 włącznie. Umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony, co może prowadzić do kradzieży sesji lub przekierowania użytkownika.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie fałszywego żądania międzywitrynowego (CSRF) we wtyczce Child Theme Wizard w wersji 1.4 i niższych. Atak może prowadzić do nieautoryzowanych zmian w konfiguracji wtyczki bez wiedzy administratora.
Wtyczka Affiliates Manager w wersji 2.9.49 i starszych zawiera podatność związaną z nieskuteczną kontrolą dostępu dla afiliantów. Umożliwia to nieautoryzowanym użytkownikom wykonywanie operacji, do których nie powinni mieć uprawnień.
Wtyczka WP Job Portal w wersji 2.5.2 i starszych zawiera podatność na wstrzykiwanie SQL w module Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Podatność IDOR (Insecure Direct Object Reference) w wersjach JS Help Desk do 3.1.0 umożliwia nieuwierzytelnionemu atakującemu bezpośredni dostęp do obiektów, takich jak zgłoszenia czy dane klientów, poprzez manipulację parametrami w żądaniach.
Podatność na atak typu Cross Site Scripting (XSS) w wtyczce Ghost Kit w wersji 3.6.0 i niższych. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony przez funkcjonalność dla współtwórców.
Podatność typu Cross Site Scripting (XSS) w wtyczce Magazine Blocks w wersjach do 1.8.3 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript. Luka występuje w kontekście wkładu (contributor), co oznacza, że może być wykorzystana przez użytkowników z niskimi uprawnieniami.
Wtyczka Shoppable Images Lite w wersji 1.3 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji, które powinny być dla nich zablokowane.
Wtyczka Nelio Content dla WordPressa w wersji 4.3.4 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji lub danych, do których nie powinna mieć uprawnień.

