Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka FindAll Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.4. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'findall_membership_check_facebook_user' oraz 'findall_membership_check_google_user'.
Wtyczka FindAll Listing dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.5. Problem wynika z funkcji 'findall_listing_user_registration_additional_params', która nie ogranicza ról użytkowników podczas rejestracji.
Podatność w serwisie imonnit.com (stan na 2025-04-24) umożliwia atakującym eskalację uprawnień poprzez spreparowany reset hasła, co pozwala na przejęcie dowolnych kont użytkowników.
W classroomio 0.1.13 konta studentów mogą usuwać kursy ze strony Explore bez żadnych kontroli autoryzacji lub uwierzytelniania, omijając oczekiwane ograniczenie usuwania tylko dla administratorów.
Zenitel TCIV-3+ jest podatny na refleksyjną podatność typu cross-site scripting, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niekompletnej walidacji danych wejściowych dostarczonych przez użytkownika. Niewystarczające zasady formatowania mogą umożliwić atakującym dodawanie dowolnych danych.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewystarczającego oczyszczania danych wejściowych dostarczanych przez użytkownika. Aplikacja akceptuje parametry, które są później włączane do poleceń systemowych bez odpowiedniej walidacji.
Istnieje podatność na wstrzykiwanie poleceń systemowych z powodu niewłaściwej walidacji danych wejściowych. Aplikacja akceptuje parametr bez weryfikacji, czy jest to prawidłowy adres IP, co może umożliwić atakującemu wstrzyknięcie dowolnych poleceń.
Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach systemowych ('iniekcja poleceń') w Cursor umożliwia nieautoryzowanemu atakującemu wykonywanie poleceń spoza dozwolonej listy, co prowadzi do wykonania dowolnego kodu.
W Azure Application Gateway występuje przepełnienie bufora na stosie, które może zostać wykorzystane przez nieautoryzowanego atakującego do podniesienia uprawnień w sieci.
Wtyczka AI Feeds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku sprawdzenia uprawnień w pliku 'actualizador_git.php' we wszystkich wersjach do 1.0.11 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.
Wtyczka CIBELES AI dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w pliku 'actualizador_git.php' w wersjach do 1.10.8 włącznie. Umożliwia to nieautoryzowanym atakującym pobieranie dowolnych repozytoriów z GitHub i nadpisywanie plików wtyczki na serwerze, co może prowadzić do zdalnego wykonania kodu.
Podatność w komponencie cms_rest.php systemu SIGB PMB v8.0.1.14 umożliwia atakującym wykonanie dowolnego kodu poprzez deserializację dowolnego pliku.
W programach Ashlar-Vellum Cobalt, Xenon, Argon, Lithium oraz Cobalt Share w wersjach 12.6.1204.216 i wcześniejszych występuje podatność typu przepełnienie bufora w stercie. Może to umożliwić atakującemu ujawnienie informacji lub wykonanie dowolnego kodu.
W programach Ashlar-Vellum Cobalt, Xenon, Argon, Lithium oraz Cobalt Share w wersjach 12.6.1204.216 i wcześniejszych występuje podatność typu Out-of-Bounds Write, która może umożliwić atakującemu ujawnienie informacji lub wykonanie dowolnego kodu.
W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora w stercie podczas przetwarzania Content-Length. Otrzymanie specjalnie przygotowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.
W Security Point (Windows) MaLion i MaLionCloud występuje podatność na przepełnienie bufora na stosie podczas przetwarzania nagłówków HTTP. Otrzymanie specjalnie skonstruowanego żądania od zdalnego, nieautoryzowanego atakującego może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.
Wtyczka EduKart Pro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z funkcji 'edukart_pro_register_user_front_end', która nie ogranicza ról użytkowników podczas rejestracji.
Wtyczka Sneeit Framework dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 8.3, poprzez funkcję sneeit_articles_pagination_callback(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane do call_user_func().
Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

