Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność typu Cross Site Scripting (XSS) w komponencie Hester Core w wersjach do 1.1.8 włącznie. Umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony, co może prowadzić do kradzieży sesji lub przekierowania użytkownika.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie fałszywego żądania międzywitrynowego (CSRF) we wtyczce Child Theme Wizard w wersji 1.4 i niższych. Atak może prowadzić do nieautoryzowanych zmian w konfiguracji wtyczki bez wiedzy administratora.
Wtyczka Affiliates Manager w wersji 2.9.49 i starszych zawiera podatność związaną z nieskuteczną kontrolą dostępu dla afiliantów. Umożliwia to nieautoryzowanym użytkownikom wykonywanie operacji, do których nie powinni mieć uprawnień.
Wtyczka WP Job Portal w wersji 2.5.2 i starszych zawiera podatność na wstrzykiwanie SQL w module Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Podatność IDOR (Insecure Direct Object Reference) w wersjach JS Help Desk do 3.1.0 umożliwia nieuwierzytelnionemu atakującemu bezpośredni dostęp do obiektów, takich jak zgłoszenia czy dane klientów, poprzez manipulację parametrami w żądaniach.
Podatność na atak typu Cross Site Scripting (XSS) w wtyczce Ghost Kit w wersji 3.6.0 i niższych. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony przez funkcjonalność dla współtwórców.
Podatność typu Cross Site Scripting (XSS) w wtyczce Magazine Blocks w wersjach do 1.8.3 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript. Luka występuje w kontekście wkładu (contributor), co oznacza, że może być wykorzystana przez użytkowników z niskimi uprawnieniami.
Wtyczka Shoppable Images Lite w wersji 1.3 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji, które powinny być dla nich zablokowane.
Wtyczka Nelio Content dla WordPressa w wersji 4.3.4 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji lub danych, do których nie powinna mieć uprawnień.
Wtyczka Panorama Viewer – 360 Degree Image + Video Viewer w wersji 1.6.1 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.
Podatność typu Insecure Direct Object References (IDOR) w wtyczce Majestic Support w wersjach do 1.1.7 umożliwia subskrybentom nieautoryzowany dostęp do zasobów innych użytkowników poprzez manipulację identyfikatorami obiektów.
Podatność wtyczki Newsletters w wersjach do 4.13 umożliwia nieautoryzowany dostęp do funkcji zarządzania subskrybentami. Brak odpowiedniej kontroli dostępu pozwala atakującemu na manipulację danymi subskrybentów bez wymaganych uprawnień.
Wtyczka Restaurant Menu by MotoPress w wersji 2.4.10 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórcę. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwe zapytania SQL do bazy danych.
Wtyczka WP Post Author w wersji 3.9.1 i starszych zawiera podatność na wstrzykiwanie SQL w funkcji Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Wtyczka Gallery dla WordPressa w wersji 4.7.8 i starszych zawiera podatność na wstrzykiwanie SQL w funkcji Contributor. Umożliwia to atakującemu z uprawnieniami współautora wykonanie nieautoryzowanych zapytań do bazy danych.
W wersjach Real Estate 7 do 3.5.9 włącznie występuje luka umożliwiająca atak CSRF bez uwierzytelnienia. Atakujący może nakłonić zalogowanego administratora do wykonania niezamierzonych działań w aplikacji.
Wtyczka MasterStudy LMS w wersjach do 3.7.30 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Podatność Cross Site Scripting (XSS) w wtyczce Fluent Booking w wersjach do 2.1.0 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript przez nieprawidłowo filtrowane dane wejściowe od współpracowników.
Nieuwierzytelniona podatność na fałszowanie żądania międzywitrynowego (CSRF) w wtyczce Abandoned Cart Lite for WooCommerce w wersjach do 6.8.0 włącznie. Atakujący może nakłonić administratora do wykonania niezamierzonych działań bez jego wiedzy.
Wtyczka wpForo Forum w wersji 3.0.9 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.

