Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Integracja płatności z metodami opartymi na Computop nieprawidłowo walidowała odpowiedzi o statusie płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją do systemu dla innej płatności, uzyskując dostęp do wielu ważnych biletów za jedną opłatą.
Integracja płatności z metodami płatności opartymi na Oppwa nieprawidłowo walidowała odpowiedzi dotyczące statusu płatności. Atakujący mógł wykorzystać odpowiedź o udanej płatności dla jednej transakcji i dostarczyć ją systemowi dla innej płatności, uzyskując dostęp do wielu ważnych biletów za pomocą tylko jednej płatności.
Wtyczka Elementor Website Builder w wersji 4.1.3 i starszych zawiera podatność na ujawnienie wrażliwych danych współtwórców. Luka ta może pozwolić atakującemu na dostęp do poufnych informacji przechowywanych przez wtyczkę.
Wtyczka Slim SEO w wersjach do 4.6.2 zawiera podatność polegającą na złamaniu kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieuprawniony dostęp do funkcji zarządzania SEO.
Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.
W wersjach Forminator do 1.53.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach JS Help Desk do 3.1.1 występuje podatność, która pozwala subskrybentom na dowolne usuwanie plików.
Podatność typu PHP Object Injection wtyczki EventPrime w wersjach do 4.3.4.1 umożliwia subskrybentom wstrzyknięcie złośliwych obiektów PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.
Wtyczka TablePress dla WordPressa w wersji 3.3.1 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wtyczka PPOM dla WooCommerce zawiera podatność polegającą na nieprawidłowej kontroli dostępu, co umożliwia wykorzystanie błędnie skonfigurowanych poziomów zabezpieczeń. Problem dotyczy wersji od n/a do 33.0.18.
Wersje Post Snippets do 4.0.19 zawierają podatność na zdalne wykonanie kodu (RCE), co może umożliwić atakującym uruchomienie nieautoryzowanego kodu na serwerze.
W wersjach Advanced Order Export For WooCommerce do 4.0.9 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez atakujących do wstrzykiwania złośliwego kodu.
Wtyczka UPI QR Code Payment Gateway dla WooCommerce w wersji 1.6.2 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez klienta. Umożliwia to nieautoryzowanym użytkownikom manipulację procesem płatności.
Wtyczka Master Slider w wersjach do 3.11.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wtyczka License Manager for WooCommerce w wersji 3.0.15 i starszych zawiera podatność na nieuwierzytelnione niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu dostęp do wrażliwych danych bez wymaganego uwierzytelnienia.
W wersjach H5P do 1.17.6 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
Wtyczka WP Activity Log w wersjach do 5.6.3.1 zawiera podatność typu Cross Site Scripting (XSS), która może być wykorzystana przez subskrybentów.
Wtyczka Premmerce Wishlist dla WooCommerce w wersjach do 1.1.11 zawiera podatność na nieautoryzowaną iniekcję SQL.
Podatność w APIExperts Square dla WooCommerce pozwala na wstrzyknięcie wrażliwych informacji do wysyłanych danych, co umożliwia ich późniejsze odzyskanie.
Podatność umożliwia nieuwierzytelnionemu atakującemu wczytanie dowolnego pliku lokalnego na serwerze wtyczki MDTF w wersjach do 1.3.8 włącznie.

