Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-11783
Średnie

Wtyczka Dokan dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole SKU produktu. Podatność występuje we wszystkich wersjach do 5.0.4 włącznie z powodu niewystarczającej sanitacji danych wejściowych i braku kodowania wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie custom i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas przeglądania strony przez innych użytkowników.

CVE-2026-11773
Średnie

Wtyczka Masteriyo LMS dla WordPressa do wersji 2.2.1 włącznie zawiera lukę umożliwiającą ominięcie autoryzacji. Uwierzytelnieni atakujący z dostępem na poziomie studenta lub wyższym mogą modyfikować treść ogłoszeń kursów utworzonych przez instruktorów lub administratorów.

CVE-2026-11597
Średnie

Wtyczka Surbma | Infusionsoft Shortcode dla WordPressa zawiera podatność na trwałe ataki XSS w wersjach do 2.0.1 włącznie. Problem wynika z braku odpowiedniej sanitacji i kodowania wyjścia dla atrybutów 'account' i 'id' w shortcode'ie 'infusionsoft-form', które są bezpośrednio łączone z atrybutem src tagu <script>. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym odwiedzeniu zainfekowanej strony.

CVE-2026-11364
Średnie

Wtyczka Product Specifications for WooCommerce dla WordPressa w wersjach do 0.8.9 zawiera podatność umożliwiającą nieautoryzowaną modyfikację, tworzenie i usuwanie danych. Brakuje w niej sprawdzenia uprawnień oraz weryfikacji nonce w metodach __invoke() klas AttributeGroupController i AttributeController, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta i wyższym na manipulowanie grupami i atrybutami specyfikacji produktów.

CVE-2026-9677
Średnie

Wtyczka Shariff for WordPress do wersji 1.0.11 nie oczyszcza ani nie koduje ustawienia shariff_infourl przed wyświetleniem go w kodzie HTML frontendu za pomocą funkcji generateshariff(). Umożliwia to użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS), nawet gdy możliwość unfiltered_html jest wyłączona (np. w konfiguracji multisite).

CVE-2026-13245
Średnie

Wtyczka MaxButtons dla WordPressa do wersji 9.8.5 włącznie zawiera podatność na odbite ataki XSS przez parametr 'view'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia atakującym wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-12404
Średnie

Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie zawiera podatność na pominięcie autoryzacji. Niezalogowani atakujący mogą wyliczyć sekwencyjne identyfikatory raportów i pobrać pełne dane przesłanych formularzy, w tym nazwiska, adresy e-mail, numery telefonów, adresy pocztowe, dane płatności i ścieżki przesłanych plików.

CVE-2026-10820
Wysokie

Wtyczka Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content dla WordPress przed wersją 4.16.17 nie weryfikuje, czy użytkownik wykonujący akcję subskrypcji jest jej właścicielem. Umożliwia to każdemu uwierzytelnionemu użytkownikowi (od roli Subskrybent wzwyż) anulowanie aktywnych subskrypcji innych użytkowników poprzez niebezpieczne bezpośrednie odwołanie do obiektu (IDOR).

CVE-2026-12415
Krytyczne

Wtyczka Invoice Generator dla WordPressa do wersji 1.0.0 włącznie zawiera lukę umożliwiającą eskalację uprawnień. Brak weryfikacji uprawnień w akcji AJAX pravel_invoice_edit_account() pozwala nieuwierzytelnionym atakującym na zmianę adresu e-mail dowolnego użytkownika, w tym administratora, a następnie wykorzystanie mechanizmu resetowania hasła do przejęcia konta.

CVE-2026-13422
Średnie

Wtyczka HD Quiz dla WordPressa w wersjach od 2.2.0 do 2.2.1 jest podatna na ataki Cross-Site Request Forgery (CSRF) z powodu braku lub nieprawidłowej walidacji tokena nonce w funkcji hdq_validate_nonce. Niezautoryzowany atakujący może wykorzystać tę lukę do usuwania lub modyfikowania quizów i pytań, tworzenia nowych quizów oraz zmiany ustawień wtyczki, pod warunkiem że nakłoni administratora witryny do wykonania akcji, np. kliknięcia w link.

CVE-2026-13335
Średnie

Wtyczka Post Map for Google Maps dla WordPressa do wersji 1.2.6 włącznie zawiera podatność na trwałe ataki XSS poprzez pole 'cpm_point' Post Meta. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-13333
Średnie

Wtyczka Groundhogg dla WordPressa (wersje do 4.5.5) zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'query[select]'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia uwierzytelnionym atakującym z dostępem na poziomie przedstawiciela handlowego lub wyższym do dołączania dodatkowych zapytań SQL, co może prowadzić do wycieku wrażliwych danych z bazy.

CVE-2026-13331
Średnie

Wtyczka Groundhogg dla WordPressa (CRM, newslettery i automatyzacja marketingu) w wersjach do 4.5.5 włącznie zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'search'. Problem wynika z niedostatecznego escapowania danych wejściowych i braku odpowiedniego przygotowania zapytań SQL.

CVE-2026-11356
Średnie

Wtyczka Ivory Search dla WordPressa do wersji 5.5.15 włącznie jest podatna na trwałe ataki XSS przez parametry 'menu_title' i 'menu_magnifier_color'. Luka wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2025-59868
Średnie

Podatność w HCL Traveler for Microsoft Outlook (HTMO) umożliwia nieautoryzowany dostęp do wrażliwych danych aplikacji, co może zostać wykorzystane przez atakującego do przeprowadzenia dalszych ataków i wywołania nieprzewidzianego zachowania aplikacji.

CVE-2023-37524
Wysokie

HCL Traveler dla Microsoft Outlook (HTMO) jest podatny na zagrożenia z powodu korzystania z .NET Framework 4.5, który osiągnął koniec wsparcia i nie otrzymuje już aktualizacji bezpieczeństwa. Może to narazić aplikację na publicznie znane słabości bezpieczeństwa poprzez podatne komponenty firm trzecich.

CVE-2026-56414
Wysokie

Podatność w kamerach IP H.View umożliwia uwierzytelnionym użytkownikom przesyłanie dowolnych plików do stałych lokalizacji w systemie plików bez walidacji typu, struktury lub rozmiaru. Może to prowadzić do umieszczenia nieoczekiwanych lub zniekształconych danych w miejscach przeznaczonych dla zaufanych certyfikatów, co wpływa na integralność systemu nawet po restarcie.

CVE-2026-55975
Wysokie

Podatność w kamerach IP H.View umożliwia uwierzytelnionemu użytkownikowi wstrzyknięcie niesprawdzonych danych XML do interfejsu generowania certyfikatów. Dane te są następnie wykorzystywane w poleceniu tworzenia certyfikatu bez odpowiedniej walidacji, co może prowadzić do wykonania kodu z podwyższonymi uprawnieniami.

CVE-2026-33560
Wysokie

Usługa plików DMP-5000 udostępnia uwierzytelnioną funkcję przesyłania plików bez walidacji. Brak filtrowania rozszerzeń i kontroli treści umożliwia przesyłanie plików wykonywalnych i skryptów.

CVE-2026-31928
Wysokie

Urządzenia DMP-5000 są dostarczane z domyślnym kontem administracyjnym sieci web, które ma słabe mechanizmy uwierzytelniania i nie wymaga zmiany podczas początkowej konfiguracji ani eksploatacji. Użycie tych kont zapewnia pełny dostęp do systemu.

PoprzedniaStrona 125 z 4520Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS