Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-57635
Średnie

Wtyczka FunnelKit Payment Gateway for Stripe WooCommerce w wersji 1.14.0.3 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście zalogowanego administratora sklepu WooCommerce.

CVE-2026-57634
Średnie

Wtyczka PPWP w wersji 1.9.19 i starszych zawiera podatność na niebezpieczne bezpośrednie odwołania do obiektów (IDOR) w funkcjonalności dla współtwórców. Umożliwia to nieautoryzowany dostęp do prywatnych danych.

CVE-2026-57633
Średnie

Wtyczka WCBoost – Products Compare w wersji 1.1.0 i niższych umożliwia nieuwierzytelnionym użytkownikom dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniego zabezpieczenia endpointów API lub stron wyświetlających poufne informacje.

CVE-2026-57632
Średnie

Wtyczka Email Marketing for WooCommerce by Omnisend w wersji 1.19.0 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji administracyjnych.

CVE-2026-57631
Wysokie

Podatność typu SQL Injection w komponencie Popup box w wersjach do 6.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL. Atakujący z uprawnieniami administratora może manipulować zapytaniami do bazy danych.

CVE-2026-57630
Średnie

Wtyczka Blocksy Companion Pro w wersji 2.1.46 i starszych zawiera podatność na nieuwierzytelnione, niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do zasobów, które powinny być chronione.

CVE-2026-57629
Średnie

Wtyczka StatCounter w wersji 2.1.1 i starszych zawiera podatność na atak XSS (Cross Site Scripting) w funkcji Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57628
Wysokie

Podatność SQL Injection wtyczki WP All Import w wersjach do 4.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL do bazy danych.

CVE-2026-57627
Średnie

Podatność typu Server Side Request Forgery (SSRF) w wtyczce Kirki w wersjach do 6.0.11 umożliwia subskrybentowi wysyłanie żądań HTTP z serwera do wewnętrznych zasobów sieciowych.

CVE-2026-57622
Średnie

Wtyczka WPCafe w wersji 3.0.14 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Osoba z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.

CVE-2026-57618
Średnie

Podatność na atak typu Cross Site Scripting (XSS) w wtyczce Neve PRO w wersjach do 3.1.2 włącznie. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony, co może prowadzić do kradzieży sesji lub przekierowania użytkownika.

CVE-2026-57617
Średnie

Wtyczka SeedProd Pro w wersjach starszych niż 6.19.5 zawiera podatność na atak typu Cross Site Scripting (XSS) w funkcji dla współtwórców. Umożliwia ona osobie atakującej wstrzyknięcie złośliwego kodu JavaScript do stron generowanych przez wtyczkę.

CVE-2026-57527
Wysokie

Dodatek ViewState dla Zed Attack Proxy (ZAP) przed wersją 4 zawiera podatność na niezabezpieczoną deserializację, która umożliwia atakującym kontrolującym serwer proxy osiągnięcie zdalnego wykonania kodu poprzez osadzenie złośliwego, serializowanego obiektu Java w parametrze odpowiedzi HTTP javax.faces.ViewState. Metoda JSFViewState.decode() dekoduje wartość ViewState z base64 i przekazuje ją bezpośrednio do ObjectInputStream.readObject() bez filtra deserializacji, listy dozwolonych typów ani ograniczeń, co powoduje deserializację złośliwego obiektu w JVM ZAP podczas renderowania panelu ViewState w interfejsie Desktop UI.

CVE-2026-57431
Średnie

Wtyczka Featured Image dla WordPressa w wersji 2.1 i starszych zawiera podatność na atak XSS (Cross-Site Scripting) w funkcji autora. Umożliwia to wstrzyknięcie złośliwego kodu JavaScript przez nieautoryzowanego użytkownika.

CVE-2026-57430
Średnie

Wtyczka SEOPress PRO w wersji 9.1.1 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji, które powinny być dla niej niedostępne.

CVE-2026-57325
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego skryptu (XSS) w aplikacji NanoMag w wersji 1.8 i starszych. Atak może zostać przeprowadzony bez konieczności logowania, co zwiększa ryzyko dla użytkowników.

CVE-2026-57324
Średnie

Podatność w wtyczce GIFT4U w wersjach do 1.0.10 umożliwia nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Może to prowadzić do nieautoryzowanego dostępu do funkcji lub danych.

CVE-2026-57323
Średnie

Wtyczka Flash & HTML5 Video w wersji 2.11.0 i starszych zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca może uzyskać nieautoryzowany dostęp do funkcji lub danych bez wymaganego uwierzytelnienia.

CVE-2026-57322
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS wtyczki weMail w wersjach do 2.1.2 włącznie.

CVE-2026-57321
Wysokie

Wtyczka H5P w wersji 1.17.7 i starszych zawiera podatność umożliwiającą współtwórcy (contributor) usunięcie dowolnego pliku na serwerze. Luka wynika z braku odpowiedniej walidacji uprawnień podczas operacji usuwania plików.

PoprzedniaStrona 164 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS