Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.
Wtyczka kalendarza postów Holiday dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 7.1 z powodu parametru 'contents'. Brak sanitizacji danych dostarczanych przez użytkownika podczas tworzenia pliku cache umożliwia atakującym bez uwierzytelnienia wykonanie kodu na serwerze.
Wtyczka EasyCommerce – AI-Powered, Fast & Beautiful dla WordPressa jest podatna na eskalację uprawnień w wersjach od 0.9.0-beta2 do 1.8.2. Problem wynika z niewłaściwego ograniczenia możliwości wyboru ról przez użytkowników podczas rejestracji w punkcie końcowym REST API /easycommerce/v1/orders.
Wtyczka WP移行専用プラグイン dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji Cpiwm_Import_Controller::import we wszystkich wersjach do i włącznie z 1.0.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
SQL Anywhere Monitor (wersja bez interfejsu graficznego) zawiera w kodzie wbudowane dane uwierzytelniające, co naraża zasoby lub funkcjonalność na dostęp niezamierzonych użytkowników oraz umożliwia atakującym wykonanie dowolnego kodu. Może to prowadzić do poważnych zagrożeń dla poufności, integralności i dostępności systemu.
Z powodu braku odpowiedniej sanitacji danych wejściowych, SAP Solution Manager umożliwia uwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu podczas wywoływania zdalnie aktywnego modułu funkcji. Może to dać atakującemu pełną kontrolę nad systemem, co prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Nowy serwer witryny opracowany przez CyberTutor ma podatność na wykorzystanie uwierzytelniania po stronie klienta, co pozwala nieautoryzowanym atakującym zdalnie modyfikować kod frontendowy i uzyskać uprawnienia administratora na stronie internetowej.
EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.
W Samba, w obsłudze hooka WINS, nazwy NetBIOS z pakietów rejestracji są przekazywane do powłoki bez odpowiedniej walidacji lub escapowania. Nieoczyszczone dane nazw NetBIOS z pakietów rejestracji WINS są wstawiane do polecenia powłoki i wykonywane przez hook WINS kontrolera domeny Samba Active Directory, co pozwala nieuwierzytelnionemu atakującemu sieciowemu na zdalne wykonanie kodu jako proces Samba.
W systemie ycf1998 money-pos przed commit 11f276bd20a41f089298d804e43cb1c39d041e59 (2025-09-14) występuje wiele podatności typu SQL injection, które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr orderby.
Wtyczka Gravity Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji copy_post_image() we wszystkich wersjach do i włącznie z 2.9.20. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W oprogramowaniu księgowym Manager-io/Manager w wersjach Desktop i Server 25.11.1.3085 i poniżej występuje krytyczna podatność, która umożliwia nieautoryzowany dostęp do zasobów wewnętrznej sieci. Problem wynika z wadliwej konstrukcji mechanizmu walidacji DNS.
Podatność CVE-2025-12488 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do ładowania modelu.
Podatność CVE-2025-12487 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do załadowania modelu.
Podatność CVE-2025-6327 w King Addons dla Elementor umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 51.1.36.
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce King Addons dla Elementor umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 51.1.36.
Podatność CVE-2025-62065 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w Rometheme RTMKit dla Elementor. Problem ten występuje w wersjach RTMKit od n/a do 1.6.5 włącznie.
Podatność CVE-2025-62064 w Elated-Themes Search & Go umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła. Problem dotyczy wersji Search & Go od n/a do 2.7 włącznie.
Podatność CVE-2025-62047 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce Case Addons dla Case-Themes. Problem ten występuje w wersjach od n/a do poniżej 1.3.0.
Podatność CVE-2025-62016 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w motywie KALLYAS. Problem ten występuje w wersjach KALLYAS od n/a do 4.22.0 włącznie.

