Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-11562
Średnie

Wtyczka WS Form LITE dla WordPressa przed wersją 1.11.8 nie posiada sprawdzenia uprawnień w jednej z akcji aktualizacji ustawień, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie subskrybenta i wyższym na modyfikację ustawień wtyczki.

CVE-2025-15666
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 5.4.3 wykryto podatność w funkcji Assimp::SceneCombiner::Copy pliku SceneCombiner.cpp. Manipulacja argumentami szerokości/wysokości prowadzi do przepełnienia bufora sterty.

CVE-2026-9107
Średnie

Wtyczka Kali Forms dla WordPressa do wersji 2.4.13 zawiera podatność na trwałe ataki XSS przez parametr 'meta[kaliforms_field_components]'. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

CVE-2026-7828
ŚrednieEPSS 53%

W repeaterze UltraVNC do wersji 1.8.2.2 występuje przepełnienie liczby całkowitej w funkcji win_log() podczas alokacji pamięci dla listy węzłów. Atakujący może wysłać odpowiednio długi URI HTTP, co prowadzi do przepełnienia bufora sterty, potencjalnie umożliwiając zapis poza przydzielonym obszarem.

CVE-2026-58519
Średnie

Podatność typu Stored XSS w rozszerzeniu Cargo dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego skryptu, który jest przechowywany na serwerze i wykonywany w przeglądarkach innych użytkowników. Problem dotyczy wersji rozszerzenia przed 3.9.1.

CVE-2026-58518
Średnie

Podatność CSRF w rozszerzeniu RedirectManager dla MediaWiki umożliwia atakującemu wykonanie nieautoryzowanych działań w kontekście uwierzytelnionego użytkownika. Problem dotyczy wersji rozszerzenia przed 1.3.3.

CVE-2026-44041
Średnie

UltraVNC do wersji 1.8.2.2 zawiera podatność na odczyt poza zakresem w funkcji konwersji szerokich znaków na wielobajtowe. Funkcja vncWc2Mb() w pliku rfb/dh.cpp:204 wywołuje wcslen() na wskaźniku dostarczonym przez wywołującego bez uprzedniego sprawdzenia granic, co może prowadzić do odczytu poza buforem.

CVE-2026-44040
Średnie

UltraVNC do wersji 1.8.2.2 używa kryptograficznie słabego generatora liczb pseudolosowych do tworzenia bajtów wyzwania uwierzytelniania VNC. Funkcja vncRandomBytes() inicjuje libc rand() wartościami time(0) + getpid() + rand(), co daje przestrzeń ziarna około 31 bitów, całkowicie determinowaną przez publicznie obserwowalne wartości (czas i PID). Atakujący może przewidzieć wyzwanie w ciągu sekund, co umożliwia fałszowanie lub brute-force odpowiedzi.

CVE-2026-2387
Średnie

Wtyczka Event Organiser dla WordPressa jest podatna na przechowywany atak XSS we wszystkich wersjach do 3.12.9 włącznie. Podatność wynika z akceptowania przez shortcode 'eo_events' kontrolowanej przez atakującego treści 'no_events' i renderowania jej w szablonach list wydarzeń bez odpowiedniego escapingu wyjścia.

CVE-2026-13443
Średnie

Wtyczka Tutor LMS dla WordPressa do wersji 3.9.13 włącznie zawiera podatność na trwałe ataki XSS przez tytuł załącznika lekcji. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.

CVE-2026-13246
Średnie

Wtyczka GiveWP dla WordPressa do 4.16.0 zawiera podatność na trwałe XSS przez atrybuty shortcode 'givewp_campaign_comments'. Atakujący z dostępem autora mogą wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-13015
Średnie

Wtyczka Wp Google Places Review Slider dla WordPressa do wersji 18.1 zawiera odbitą podatność na Cross-Site Scripting (XSS) przez parametr 'place'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych w pliku admin/partials/googlecrawl_dfs.php pozwala nieuwierzytelnionym atakującym na wstrzyknięcie dowolnego skryptu, który wykona się po kliknięciu przez ofiarę spreparowanego linku.

CVE-2026-12904
Średnie

Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Mechanizm autoryzacji sprawdza uprawnienia na podstawie identyfikatora posta (post_id) podanego przez użytkownika, ale operacje odczytu i usuwania rekordów analizy optymalizatora są wykonywane na podstawie skrótu ścieżki pliku (post_path), który może być dowolnie zmieniony przez atakującego. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora lub wyższym odczytywanie lub usuwanie rekordów analizy należących do postów innych użytkowników.

CVE-2026-12902
Średnie

Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 włącznie nieprawidłowo weryfikuje uprawnienia użytkownika, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na tworzenie dowolnych załączników w bibliotece multimediów. Atakujący może zdalnie pobrać obrazy do katalogu uploads, omijając ograniczenia związane z uprawnieniem upload_files.

CVE-2026-12135
Średnie

Wtyczka FV Flowplayer Video Player dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'align' w shortcode'u 'video_player' we wszystkich wersjach do 7.5.51.7212 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla atrybutów dostarczanych przez użytkownika.

CVE-2026-12133
Średnie

Wtyczka JoomSport dla WordPressa do wersji 5.7.8 włącznie zawiera lukę braku autoryzacji w funkcji AJAX joomsport_season_groupdel(). Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym usunięcie dowolnych grup JoomSport bez wymaganej kontroli uprawnień.

CVE-2026-12127
Średnie

Wtyczka WPForms dla WordPressa do wersji 1.10.2 włącznie jest podatna na wstrzykiwanie nagłówków e-mail przez CRLF Injection. Błąd wynika z nieprawidłowego przetwarzania nazwy wyświetlanej Reply-To, co pozwala nieuwierzytelnionym atakującym na dodanie dowolnych nagłówków, takich jak Bcc, do wychodzących wiadomości powiadomień.

CVE-2026-12113
Średnie

Wtyczka Appointment Booking Calendar dla WordPressa do wersji 1.4.02 włącznie ujawnia wrażliwe dane poprzez parametr cpabc_appointments_filter_list. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wyodrębnienie danych osobowych klientów, takich jak imiona, adresy e-mail, numery telefonów, komentarze do rezerwacji i inne informacje umożliwiające identyfikację.

CVE-2026-12110
Średnie

Wtyczka Taskbuilder dla WordPressa do wersji 5.0.8 zawiera podatność na wstrzykiwanie SQL przez parametr 'task_search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia uwierzytelnionym atakującym (od poziomu subskrybenta) dołączanie dodatkowych zapytań SQL.

CVE-2026-12090
Średnie

Wtyczka Taskbuilder dla WordPressa jest podatna na ogólną iniekcję SQL przez parametr 'wppm_proj_filter' w wersjach do 5.0.8 włącznie. Brak odpowiedniego escapowania i przygotowania zapytania SQL umożliwia uwierzytelnionym atakującym (od poziomu subskrybenta) dołączanie dodatkowych zapytań SQL, co pozwala na wyodrębnienie wrażliwych danych z bazy.

PoprzedniaStrona 16 z 528Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS