Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka MapPress Maps dla WordPressa jest podatna na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika w wersjach do 2.96.6 włącznie. Brak weryfikacji własności w trasach REST API umożliwia nieautoryzowanym atakującym dostęp do wrażliwych danych map.
Wtyczka Klamra Paycal dla Aspaclaria w WordPressie jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów w wersjach do 1.1.4 włącznie, przez parametr 'invoice_id', z powodu braku walidacji klucza kontrolowanego przez użytkownika. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, pobieranie dowolnych faktur klientów.
Wtyczka SEO od Squirrly SEO dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 12.4.16. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników do wykonywania określonych działań.
Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPress jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametry URL w trybie iframe w wersjach do 2.8.15 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Smart Slider 3 dla WordPressa jest podatna na atak typu Directory Traversal we wszystkich wersjach do i włącznie z 3.5.1.36 poprzez funkcję replaceHTMLImage. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczytanie zawartości dowolnych plików na serwerze.
Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia 'drag_n_drop_text' i 'drag_n_drop_browse_text' w wersjach do 1.3.9.7 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka OptinCraft – Drag & Drop Optins & Popup Builder dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order_by' we wszystkich wersjach do 1.2.0 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka LearnPress – WordPress LMS Plugin do tworzenia i sprzedaży kursów online jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.6 włącznie, poprzez parametr 'return_type'. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, takich jak hasła do chronionych kursów oraz pełne treści nieopublikowanych szkiców.
Wtyczka EmbedPress – PDF Embedder dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'url' w blokach we wszystkich wersjach do 4.5.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Click to Chat – WA Widget dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'num' shortcode'a [chat] w wersjach do 4.38 włącznie. Problem wynika z niewystarczającego zabezpieczenia przy osadzaniu wartości atrybutów shortcode'a dostarczonych przez użytkowników w łańcuchach znaków JavaScript.
Wtyczka WPForms – Easy Form Builder dla WordPressa jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 1.10.0.1 włącznie. Problem wynika z przetwarzania nieautoryzowanych ładunków JSON webhook przez punkt końcowy PayPal Commerce bez weryfikacji, czy żądanie pochodzi od PayPal.
Wtyczka Essential Addons for Elementor dla WordPressa jest podatna na ujawnienie informacji we wszystkich wersjach do 6.6.4 włącznie, z powodu niewystarczających ograniczeń w funkcji ajax_load_more. Umożliwia to nieautoryzowanym atakującym wydobycie danych z chronionych hasłem, prywatnych lub roboczych postów.
Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 4.1.4 włącznie, poprzez deserializację niezaufanych danych. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzyknięcie obiektu PHP.
Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na odczyt dowolnych plików poprzez przejście po katalogach we wszystkich wersjach do 4.1.4 włącznie, za pomocą parametru 'import-user-file'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczyt zawartości dowolnych plików na serwerze.
Wtyczka Quick Playground dla WordPressa jest podatna na atak typu Path Traversal we wszystkich wersjach do 1.3.4 włącznie. Funkcja `qckply_data()` przekazuje parametr `filename` z żądania POST bez walidacji, co pozwala na odczyt dowolnych plików na serwerze przez uwierzytelnionych atakujących z dostępem na poziomie Administratora.
Wtyczka Master Addons For Elementor dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienie 'jtlma_custom_js'. Atakujący z dostępem na poziomie autora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Wtyczka Page-list dla WordPressa jest podatna na brak autoryzacji we wszystkich wersjach do 6.2 włącznie. Funkcja pagelist_unqprfx_ext_shortcode() akceptuje atrybuty kontrolowane przez atakującego, co pozwala na ujawnienie treści prywatnych i roboczych stron.
Wtyczka LatePoint – Calendar Booking Plugin for Appointments and Events dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 5.6.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji change_status.
Wtyczka RSS Aggregator by Feedzy dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 5.1.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu co najmniej 'contributor' na tworzenie i wykonywanie zadań importu RSS oraz usuwanie powiązanych postów.
Wtyczka Simple SEO Slideshow dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode w wersjach do 1.2.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współpracownika i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

