Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wersje GamiPress do 7.8.7 zawierają podatność na atak typu SQL Injection, który może być wykorzystany przez subskrybentów.
Wersje Montonio dla WooCommerce do 10.1.2 zawierają lukę w kontroli dostępu, która pozwala na nieautoryzowany dostęp do zasobów.
W wersjach EmbedPress do 4.5.2 występuje podatność na nieautoryzowany dostęp do wrażliwych danych.
W wersjach MW WP Form <= 5.1.3 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach Simple Shopping Cart <= 5.2.9 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do zasobów, do których nie powinni mieć dostępu.
W wersjach Quiz And Survey Master <= 11.1.2 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych użytkowników.
W wersjach Post SMTP <= 3.6.2 występuje podatność na nieautoryzowany atak Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego skryptu.
W wersjach WPForms <= 1.10.0.4 występuje problem z nieautoryzowanym dostępem do formularza kontaktowego, co prowadzi do naruszenia kontroli dostępu.
OliveTin w wersjach 3000.0.0 i wcześniejszych umożliwia dostęp do zdefiniowanych poleceń powłoki z interfejsu webowego. Wykorzystanie wspólnej instancji silnika szablonów bez synchronizacji prowadzi do warunków wyścigu, co skutkuje zanieczyszczeniem poleceń między użytkownikami oraz błędami wykonania.
Cursor to edytor kodu zaprojektowany do programowania z wykorzystaniem AI. W wersjach przed 3.0.0, Cursor Desktop mógł wykonywać polecenia hook zdefiniowane w workspace z pliku .claude/settings.local.json bez dedykowanej zgody użytkownika.
Serwer Spring Cloud Gateway przekazuje nagłówki X-Forwarded-For i Forwarded z nieufnych proxy w określonych scenariuszach konfiguracyjnych. Dotyczy to zarówno serwerów bramkowych WebMVC, jak i WebFlux.
Wasmtime, środowisko uruchomieniowe dla WebAssembly, ma lukę w wersjach przed 24.0.9, 36.0.10 i 44.0.2, która pozwala na obejście mechanizmu kontroli dostępu przy użyciu interfejsów wasip2 descriptor.open-at lub wasip1 path_open. Problem wynika z braku odpowiedniego ustawienia trybu otwarcia, co umożliwia otwarcie pliku z flagą OpenFlags::TRUNCATE bez odpowiednich uprawnień do zapisu.
WpEvently w wersjach do 5.3.3 zawiera nieautoryzowaną podatność, która może być wykorzystana przez atakujących.
W wersjach wtyczki Product Filter Widget dla Elementor do 1.0.6 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu JavaScript.
W wersjach AutomatorWP do 5.7.2 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach EventPrime do 4.3.2.1 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
W wersjach EventPrime <= 4.3.2.1 występuje podatność na atak Cross Site Scripting (XSS) skierowany do subskrybentów.
Wersje Email Marketing for WooCommerce autorstwa Omnisend do 1.18.0 zawierają lukę w uwierzytelnianiu, która pozwala na nieautoryzowany dostęp.
W wersjach Bookly do 27.4 występuje podatność na nieautoryzowany dostęp do wrażliwych danych.
W systemie rezerwacji salonu w wersjach do 10.30.25 występuje nieautoryzowana luka w kontroli dostępu, która może umożliwić nieuprawnionym użytkownikom dostęp do zasobów.

