Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-8904
Średnie

Wtyczka FastPicker, system do zarządzania zamówieniami dla WooCommerce, jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji settingsPage, co pozwala nieautoryzowanym atakującym na modyfikację ustawień wtyczki.

CVE-2026-8902
Średnie

Wtyczka AJAX Report Comments dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do 2.0.4 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji rc_options_page.

CVE-2026-8895
Średnie

Wtyczka kk blog card dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'blog-card' we wszystkich wersjach do 1.3 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach 'href' i 'type' shortcode'a.

CVE-2026-8883
Średnie

Wtyczka Global Body Mass Index Calculator dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'gbmicalc' w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.

CVE-2026-8882
Średnie

Wtyczka WP ApplicantStack Jobs Display dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode we wszystkich wersjach do 1.1.1 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-8880
Średnie

Wtyczka RomanCart Ecommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'blclass' oraz inne atrybuty shortcode'a romancart_button w wersjach do 2.0.8 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji romancart_button_shortcode().

CVE-2026-8841
Średnie

Wtyczka Extra Settings for RocketChat dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'title' shortcode'a 'rocketchat' w wersjach do 0.1 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych w funkcji rxstg_shortcode().

CVE-2026-8499
Średnie

Wtyczka Helpfulcrowd Product Reviews dla WordPressa jest podatna na obejście autoryzacji poprzez nieprawidłowe porównanie typów w wersjach do 1.2.9 włącznie. Funkcja `helpfulcrowd_validate_token()` używa luźnego operatora porównania, co pozwala nieautoryzowanym użytkownikom na modyfikację ustawień wtyczki.

CVE-2026-7662
Średnie

Wtyczka ePaperFlip Publisher dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'publicationid' shortcode'a `epaperflip_embed` w wersjach do 1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybucie shortcode'a, co pozwala na wstrzykiwanie skryptów webowych.

CVE-2026-41980
Średnie

W module podglądu plików występuje luka w kontroli uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.

CVE-2026-41979
Średnie

W module drukowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność i poufność danych.

CVE-2026-41978
Średnie

W module klonowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.

CVE-2026-41975
Średnie

W module zarządzania siecią występuje podatność związana z zarządzaniem uprawnieniami. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność usług.

CVE-2026-41854
Średnie

Podatność w Spring Framework wynika z nieprawidłowego parsowania hosta przez UriComponentsBuilder. Aplikacje używające tego komponentu do analizy i walidacji zewnętrznych adresów URL mogą być narażone na atak SSRF (Server-Side Request Forgery).

CVE-2026-41853
Średnie

Podatność w Spring MVC i WebFlux umożliwia ataki typu Multipart request smuggling. Luka występuje w Spring Framework w wersjach od 7.0.0 do 7.0.7, od 6.2.0 do 6.2.18, od 6.1.0 do 6.1.27 oraz od 5.3.0 do 5.3.48.

CVE-2026-41851
Średnie

Aplikacje akceptujące wyrażenia SpEL od użytkownika mogą być podatne na atak DoS, jeśli ewaluacja wyrażenia powoduje nieograniczony wzrost pamięci podręcznej.

CVE-2026-41847
Średnie

Aplikacje Spring WebFlux mogą być podatne na obejście zabezpieczeń podczas korzystania z Kotlin Router DSL.

CVE-2026-41846
Średnie

Aplikacje Spring MVC, które akceptują wartości dostarczone przez użytkownika w atrybutach cssClass, cssErrorClass lub cssStyle znaczników formularzy JSP, umożliwiają wstrzyknięcie dowolnego kodu HTML/JavaScript, co może prowadzić do podatności na ataki typu cross-site scripting (XSS).

CVE-2026-41844
Średnie

Podatność w Spring MVC i Spring WebFlux umożliwia atakującemu przekierowanie użytkownika na dowolny zewnętrzny host poprzez spreparowany link z prefiksem 'redirect:', gdy aplikacja konfiguruje mapowanie dla '/**' bez jawnego określenia nazwy widoku.

CVE-2026-41843
Średnie

Podatność typu Path Traversal w Spring MVC i WebFlux podczas rozwiązywania zasobów statycznych. Atakujący może uzyskać dostęp do plików poza katalogiem docelowym.

PoprzedniaStrona 156 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS