Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w Dokku przed wersją 0.38.2 pozwala na zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Walidacja nazwy aplikacji przepuszcza znaki specjalne powłoki, które są następnie wstawiane bez cytowania do skryptu git hook, co umożliwia wykonanie dowolnych poleceń jako użytkownik dokku.
Dokku przed wersją 0.38.2 zawiera podatność w pluginie openresty-vhosts, która pozwala na wykonanie dowolnych poleceń na hoście jako użytkownik dokku. Problem wynika z nieprawidłowego interpolowania nazw plików z katalogu openresty/http-includes/ repozytorium git aplikacji do pojedynczo cytowanego łańcucha powłoki, który jest następnie przetwarzany przez eval. Nazwa pliku zawierająca apostrof przełamuje cytowanie i umożliwia podstawienie poleceń.
Podatność w Dokku przed wersją 0.38.2 pozwala atakującemu na zapis dowolnych plików w systemie poprzez wykorzystanie poleceń git:from-archive i certs:add. Atakujący może dostarczyć spreparowane archiwum tar/zip, które zawiera dowiązania symboliczne, co umożliwia nadpisanie pliku ~/.ssh/authorized_keys i uzyskanie nieograniczonego dostępu do powłoki.
Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.
Podatność w domyślnej maszynie JVM umożliwia dostęp do plików i katalogów w `/tmp/`, w tym do katalogów tymczasowych innych użytkowników na tym samym instancji chmurowej. Atakujący mający dostęp do współdzielonego `/tmp/` może przed uruchomieniem JVM ofiary utworzyć lub podmienić pliki `.jar` lub katalogi (poprzez plik `-init`), które zostaną załadowane jako pierwsze w classpath. W rezultacie może dojść do wykonania złośliwego kodu podczas startu JVM.
Podatność umożliwia administratorowi dowolne przesyłanie plików w systemie TemplateSpare w wersjach do 4.2.0 włącznie. Atakujący z uprawnieniami administratora może wgrać złośliwy plik na serwer.
Wtyczka Advance Product Search w wersji 1.4.4 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie SQL. Atakujący może wysyłać specjalnie spreparowane zapytania, aby wykonać dowolne polecenia SQL na bazie danych.
Wtyczka JetEngine dla WordPressa w wersji 3.8.10.2 i starszych zawiera podatność na wstrzykiwanie SQL, którą może wykorzystać nieuwierzytelniony atakujący. Podatność ta pozwala na wykonanie nieautoryzowanych zapytań do bazy danych.
Wtyczka JetSmartFilters w wersjach do 3.8.3 zawiera podatność na wstrzykiwanie SQL, którą może wykorzystać niezautoryzowany atakujący. Luka umożliwia wykonanie dowolnych zapytań SQL na bazie danych.
Nieuwierzytelniona podatność na wstrzykiwanie SQL w wtyczce Quotes llama w wersjach do 3.1.5. Atakujący bez autoryzacji może wykonać dowolne zapytania SQL.
We wtyczce Travel Booking w wersji 2.2.5 i starszych wykryto podatność umożliwiającą użytkownikowi z rolą subskrybenta przesyłanie dowolnych plików na serwer. Luka ta może zostać wykorzystana do wgrania złośliwego oprogramowania.
Podatność wtyczki Quform w wersjach do 2.23.0 umożliwia użytkownikowi z rolą subskrybenta przesyłanie dowolnych plików na serwer. Atakujący może wykorzystać tę lukę do wgrania złośliwego pliku, co może prowadzić do przejęcia kontroli nad witryną.
Podatność wtyczki Uncanny Automator Pro w wersji 7.3.0.6 i starszych umożliwia wstrzyknięcie obiektów PHP przez użytkownika z rolą Subscriber. Atakujący może zdalnie wykonać niebezpieczny kod na serwerze.
Nieuwierzytelniona podatność na wstrzykiwanie SQL w wtyczce WordPress 결제 심플페이 w wersjach do 5.5.6. Atakujący bez uwierzytelnienia może wykonać dowolne zapytania SQL.
W systemie Library Management System w wersji 3.5.7 i starszych występuje podatność na wstrzykiwanie SQL (SQL Injection) bez wymaganego uwierzytelnienia. Atakujący może zdalnie wykonać dowolne zapytania SQL, co prowadzi do nieautoryzowanego dostępu do bazy danych.
Podatność w wtyczce Dokan Pro w wersji 5.0.4 i starszych umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Oznacza to, że osoba bez ważnego konta może uzyskać wyższe uprawnienia w systemie.
Podatność wtyczki Buddyboss Platform w wersjach do 3.0.4 umożliwia użytkownikom z rolą subskrybenta wstrzyknięcie obiektów PHP. Atakujący może wykorzystać tę lukę do zdalnego wykonania kodu na serwerze.
Podatność w wtyczce Paytium w wersjach do 5.0.2 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Oznacza to, że osoba bez ważnego konta może uzyskać wyższe uprawnienia w systemie.
Wtyczka Easy Elements dla Elementora w wersji 1.4.9 i starszych zawiera lukę umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Podatność ta wynika z braku odpowiedniego sprawdzenia uprawnień w mechanizmie wtyczki.
Wtyczka Booster for WooCommerce w wersji 8.0.1 i starszych umożliwia nieautoryzowane przesyłanie dowolnych plików przez klienta. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania na serwer.

