Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka WP GDPR Cookie Consent dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez akcję AJAX 'ninja_gdpr_ajax_actions' w wersjach do 1.0.0 włącznie. Problem wynika z braku odpowiednich sprawdzeń uprawnień i nonce w funkcji handleAjaxCalls(), a także niewystarczającej sanitizacji danych wejściowych oraz braku odpowiedniego escapowania danych wyjściowych w funkcji generateCSS().
Wtyczka WP Meta Sort Posts dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.9. Problem wynika z braku lub nieprawidłowej walidacji nonce w skrypcie msp-options.php.
Wtyczka WP Emoticon Rating dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0.1. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji.
Wtyczka WpMobi dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 0.0.3 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji handleSaveGeneralSettings, co pozwala nieautoryzowanym atakującym na modyfikację ustawień ogólnych wtyczki.
Wtyczka WP-Ultimate-Map dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku walidacji nonce w funkcji process_init(), co pozwala na zapis ustawień wtyczki na podstawie obecności parametru POST save-setting.
Wtyczka FastPicker, system do zarządzania zamówieniami dla WooCommerce, jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji settingsPage, co pozwala nieautoryzowanym atakującym na modyfikację ustawień wtyczki.
Wtyczka AJAX Report Comments dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do 2.0.4 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji rc_options_page.
Wtyczka kk blog card dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'blog-card' we wszystkich wersjach do 1.3 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach 'href' i 'type' shortcode'a.
Wtyczka Global Body Mass Index Calculator dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'gbmicalc' w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.
Wtyczka WP ApplicantStack Jobs Display dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode we wszystkich wersjach do 1.1.1 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka RomanCart Ecommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'blclass' oraz inne atrybuty shortcode'a romancart_button w wersjach do 2.0.8 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji romancart_button_shortcode().
Wtyczka Extra Settings for RocketChat dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'title' shortcode'a 'rocketchat' w wersjach do 0.1 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych w funkcji rxstg_shortcode().
Wtyczka Helpfulcrowd Product Reviews dla WordPressa jest podatna na obejście autoryzacji poprzez nieprawidłowe porównanie typów w wersjach do 1.2.9 włącznie. Funkcja `helpfulcrowd_validate_token()` używa luźnego operatora porównania, co pozwala nieautoryzowanym użytkownikom na modyfikację ustawień wtyczki.
Wtyczka ePaperFlip Publisher dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'publicationid' shortcode'a `epaperflip_embed` w wersjach do 1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybucie shortcode'a, co pozwala na wstrzykiwanie skryptów webowych.
W module podglądu plików występuje luka w kontroli uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.
W module drukowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność i poufność danych.
W module klonowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.
W module zarządzania siecią występuje podatność związana z zarządzaniem uprawnieniami. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność usług.
Podatność w Spring Framework wynika z nieprawidłowego parsowania hosta przez UriComponentsBuilder. Aplikacje używające tego komponentu do analizy i walidacji zewnętrznych adresów URL mogą być narażone na atak SSRF (Server-Side Request Forgery).
Podatność w Spring MVC i WebFlux umożliwia ataki typu Multipart request smuggling. Luka występuje w Spring Framework w wersjach od 7.0.0 do 7.0.7, od 6.2.0 do 6.2.18, od 6.1.0 do 6.1.27 oraz od 5.3.0 do 5.3.48.

