Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Browserstack-cypress-cli w wersjach przed 1.36.4 jest podatny na wstrzykiwanie poleceń systemowych poprzez parametr konfiguracyjny cypress_config_file. Funkcja loadJsFile() w pliku readCypressConfigUtil.js wykonuje polecenie powłoki, interpolując wartość cypress_config_filepath kontrolowaną przez użytkownika.
Podatność w elixir-grpc umożliwia atakującym z odpowiednimi uprawnieniami dostęp do zasobów innych użytkowników poprzez manipulację wartościami w zapytaniach. Dzięki temu mogą oni obejść mechanizmy autoryzacji, co prowadzi do nieautoryzowanego dostępu lub modyfikacji danych.
Zidentyfikowano potencjalne podatności w HP One Agent dla niektórych produktów HP PC, które mogą umożliwić eskalację uprawnień i/lub odmowę usługi.
DbGate to wieloplatformowy menedżer baz danych, w wersjach 7.1.8 i wcześniejszych, posiada lukę w punkcie końcowym POST /runners/load-reader, który akceptuje parametr functionName interpolowany bez sanitizacji do szablonu kodu JavaScript. Użytkownik z podstawowym dostępem może wstrzykiwać dowolny kod JavaScript, który wykonuje się na serwerze z pełnymi uprawnieniami procesu.
W wersjach SEO Redirection do 9.17 zidentyfikowano podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego skryptu w kontekście użytkownika.
W wersjach WCMultiShipping do 3.0.2 występuje podatność na atak typu SQL Injection, która może być wykorzystana przez subskrybentów.
W wersjach VikRentCar <= 1.4.5 występuje podatność na nieautoryzowane bezpośrednie odniesienia do obiektów (IDOR). Umożliwia to atakującym dostęp do zasobów, do których nie powinni mieć dostępu.
W wersjach Taskbuilder do 5.0.7 występuje podatność na atak typu SQL Injection, która może być wykorzystana przez subskrybentów.
Wersje ABC Crypto Checkout do 1.8.2 mają lukę, która pozwala na nieautoryzowany dostęp do wrażliwych danych.
Wtyczka Signature Add-On dla WooCommerce w wersjach do 2.0 ma lukę, która pozwala na nieautoryzowany dostęp do wrażliwych danych.
Wersje Affiliates Manager do 2.9.50 mają lukę, która pozwala na nieautoryzowany dostęp do wrażliwych danych.
Wersje Dokan do 5.0.2 zawierają lukę, która umożliwia eskalację uprawnień klientów.
Wersje Shared Files do 1.7.64 zawierają podatność na nieautoryzowany atak typu Path Traversal, co pozwala atakującemu na dostęp do plików systemowych.
W wersjach WooCommerce do 3.1.4 występuje podatność na nieautoryzowaną złamaną autoryzację w funkcji Upsell Order Bump Offer.
Wersje LatePoint do 5.5.1 zawierają lukę, która pozwala na eskalację uprawnień dla współpracowników.
Wersje Chatway Live Chat, AI Chatbot, Customer Support, FAQ & Helpdesk Customer Service oraz Chat Buttons do 1.4.8 mają lukę, która pozwala na ujawnienie wrażliwych danych subskrybentów.
W WP Travel Engine w wersjach do 6.7.10 występuje nieautoryzowany typ podatności, który może być wykorzystany przez atakujących.
W wersjach Knit Pay <= 9.4.0.0 występuje nieautoryzowany błąd kontroli dostępu, który może umożliwić nieautoryzowanym użytkownikom dostęp do zasobów.
Wersje Coupon Affiliates do 7.8.1 mają lukę, która umożliwia ujawnienie wrażliwych danych subskrybentów.
W bramce płatności Conekta w wersjach do 6.0.0 występuje podatność na nieautoryzowany dostęp do wrażliwych danych.

