Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka Express Payment For Stripe dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'type' shortcode'a [stripe-express] w wersjach do 1.28.0 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na wartości atrybutu shortcode'a.
Wtyczka Event Monster do zarządzania wydarzeniami w WordPressie jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 2.1.0. Problem wynika z handlera AJAX capture_payment(), który ufa danym płatności dostarczanym przez klienta bez weryfikacji po stronie serwera.
Wtyczka Frontend User Notes dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 2.1.1. Problem wynika z braku lub niepoprawnej walidacji nonce w funkcji funp_ajax_modify_notes.
Wtyczka Quiz and Survey Master (QSM) dla WordPressa jest podatna na atak typu time-based blind SQL Injection poprzez parametr 'order' w wersjach do 11.1.2 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Charitable – Donation dla WordPress jest podatna na nieautoryzowany dostęp do obiektów, co prowadzi do możliwości usunięcia dowolnych załączników. Problem występuje w wersjach do 1.8.11.1 i wynika z braku walidacji właściciela załącznika podczas aktualizacji awatara profilu.
Wtyczka Alba Board dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 2.1.3 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu subskrybenta i wyżej na dostęp do prywatnych danych postów alba_card.
Wersje Pythona przed 3.15 mają problem z funkcją `idna.encode()`, która może być wykorzystana do przeprowadzenia ataku typu denial-of-service poprzez przetwarzanie specjalnie skonstruowanych argumentów. Wysokie wartości N w payloadach mogą prowadzić do długiego czasu przetwarzania.
HAX CMS, używany do zarządzania mikrositami z backendem PHP lub NodeJs, ma problem z nieprawidłowym zakończeniem sesji w wersjach przed 26.0.0. Tokeny uwierzytelniające pozostają ważne po wylogowaniu użytkownika, co umożliwia atakującym uzyskanie trwałego dostępu do funkcji CMS.
HAX CMS przed wersją 26.0.0 zawiera podatność typu Authenticated Local File Inclusion (LFI) w punkcie końcowym saveOutline, która pozwala użytkownikowi o niskich uprawnieniach na odczyt dowolnych plików na serwerze. Atakujący mogą wykorzystać tę lukę do wykradania wrażliwych plików systemowych.
HAX CMS to system zarządzania mikrositami z backendami PHP lub NodeJS. Przed wersją 26.0.0 aplikacja HAX CMS w NodeJS ulega awarii, gdy uwierzytelniony atakujący wysyła specjalnie przygotowane żądanie utworzenia witryny do punktu końcowego createSite.
OpenXDMoD przed wersją 11.0.3 ma lukę, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego JavaScriptu do profilu użytkownika. Wykorzystując funkcjonalność resetowania hasła, atakujący może wysłać link do złośliwej strony HTML, co może prowadzić do przejęcia konta użytkownika.
W OpenXDMoD przed wersją 11.0.3 występuje luka w logice kontroli dostępu, która pozwala atakującemu na przesłanie spreparowanego żądania HTTPS POST, co umożliwia obejście ograniczeń dostępu do danych. Luka ta dotyczy instalacji zawierających opcjonalny moduł Job Performance (SUPReMM).
W interfejsie użytkownika panelu administracyjnego Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność na atak typu cross-site scripting (XSS). Niezweryfikowane zmienne dostarczane przez użytkownika są odzwierciedlane w profilach administracyjnych, co umożliwia kontrolowanie zachowań przetwarzania ładunków wektorowych.
Występuje podatność na wykonanie polecenia związanego z walidacją danych w pipeline zarządzania przeglądarką w Arista Edge Threat Management - Arista Next Generation Firewall (NGFW). Uwierzytelnieni administratorzy mogą wykorzystać tę lukę, aby uzyskać uprawnienia do wykonywania kodu skryptowego terminala.
W Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność na wstrzykiwanie poleceń w niestandardowym handlerze portalu captive. Zalogowane konto administracyjne może wykorzystać tę lukę do wykonania dowolnych poleceń powłoki na platformie.
W aplikacji raportowej Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność związana z infrastrukturą, spowodowana niewłaściwą walidacją danych wejściowych. Problem ten dotyczy wyłącznie wersji 17.4.0; wcześniejsze wersje oprogramowania nie są narażone.
W aplikacji Captive Portal frameworku zarządzania zagrożeniami Arista Edge występuje podatność na wstrzykiwanie poleceń związanych z zaszyfrowanym hasłem. Problem ten dotyczy wyłącznie wersji 17.4.0, wcześniejsze wersje oprogramowania nie są narażone.
HAX CMS w wersjach od 2.0.0 do 26.0.0 ma wtyczkę gitlist, która jest dostępna dla nieautoryzowanych użytkowników, co umożliwia przeglądanie repozytoriów git oraz historii git bez uwierzytelnienia.
Na dotkniętych platformach z obsługą sprzętowego IPSec działających na Arista EOS z włączonymi określonymi funkcjami IPsec, EOS może wykazywać nieoczekiwane zachowanie w określonych przypadkach. Fluktuacje interfejsów fizycznych oraz niektóre restarty agentów mogą powodować ponowne nawiązywanie tunelu IPsec z istniejącymi skojarzeniami bezpieczeństwa, co prowadzi do niezgodności numerów sekwencyjnych między punktami końcowymi tunelu.
W urządzeniach D-Link DWR-M920 do wersji 1.1.50 zidentyfikowano lukę, która pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem IMEI_value w funkcji sub_412DA0 w pliku /boafrm/formIMEISetup.

