Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W wersjach JetEngine do 3.8.10 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu JavaScript.
W wersjach JetEngine do 3.8.10 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu JavaScript.
Podatność SQL Injection w module subskrybenta w wersjach Cornerstone poniżej 7.8.8 umożliwia atakującym wykonanie złośliwych zapytań SQL.
W wersjach Clean Login <= 1.15 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do zasobów, do których nie powinni mieć dostępu.
Router RadiX AX6600 WiFi 6 Tri-Band Gaming zawiera podatność na wstrzykiwanie poleceń systemowych, co może prowadzić do wykonania dowolnych poleceń z uprawnieniami roota przez użytkownika, który zaloguje się do konsoli webowej jako administrator.
W wersjach PushEngage do 4.2.3 występuje podatność, która umożliwia ujawnienie wrażliwych danych subskrybentów. Problem ten dotyczy powiadomień push w aplikacji oraz automatyzacji eCommerce.
W wersjach JetBlog do 2.4.8 występuje podatność na nieautoryzowany dostęp do wrażliwych danych.
W wersjach WPFunnels Pro do 2.9.4 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach Cornerstone poniżej 7.8.8 występuje podatność umożliwiająca wykonanie dowolnego kodu przez subskrybenta.
Wersje Stripe do 1.3.12 mają lukę w niezabezpieczonym dostępie, która pozwala na nieautoryzowany dostęp do funkcji rejestracji użytkowników.
W wersjach JetEngine <= 3.8.9.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego skryptu w kontekście użytkownika.
W podatności CVE-2026-49073 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce wpWax Directorist Booking.
Wersje JobSearch do 3.2.7 zawierają lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do zasobów.
W wersjach Geo Mashup do 1.13.19 występuje podatność na atak typu SQL Injection, która może umożliwić nieautoryzowany dostęp do bazy danych.
Rocket.Chat w wersjach <8.5.1, <8.4.4, <8.3.6, <8.2.6, <8.1.6, <8.0.7, <7.13.9 i <7.10.13 jest podatny na nieautoryzowane usuwanie plików. Metoda deleteFileMessage pozwala na trwałe usunięcie dowolnego przesłanego pliku po ID bez wymogu uwierzytelnienia.
W wersjach Enfold <= 7.1.4 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu JavaScript.
Remark42, silnik komentarzy do blogów, ma podatność XSS w wersjach od 1.6.0 do 1.15.0, która może być wykorzystana poprzez fałszowanie nagłówka Content-Type. Atakujący może wykorzystać tę lukę, aby wstrzyknąć złośliwy kod HTML/JavaScript do dokumentu w ramach Remark42.
Biblioteka WebSocket 'ws' dla Node.js jest podatna na atak DoS polegający na wyczerpaniu pamięci. Atakujący może wysłać wiele bardzo małych fragmentów danych, co zmusza serwer do alokowania struktur opakowujących zużywających znacznie więcej pamięci niż domyślny limit rozmiaru wiadomości, prowadząc do przerwania procesu z powodu braku pamięci.
Wersje PowerPack Pro dla Elementor poniżej 2.13.0 zawierają lukę w uwierzytelnianiu, która pozwala na nieautoryzowany dostęp.
W wersjach Profile Builder Pro <= 3.15.0 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.

