Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-12094
Średnie

Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.

CVE-2026-11997
Średnie

Wtyczka Bulk SEO Image dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie ustawień wtyczki, co pozwala na masowe nadpisywanie metadanych ALT obrazów przez nieautoryzowanych atakujących.

CVE-2026-11370
Średnie

Wtyczka WP Meta SEO dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 4.5.18 włącznie, poprzez parametr 'new_link'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wysyłanie żądań HTTP do dowolnych lokalizacji z poziomu aplikacji, co może być wykorzystane do odpytywania i modyfikowania informacji z wewnętrznych usług.

CVE-2026-10753
Niskie

Wtyczka Site Kit by Google dla WordPressa przed wersją 1.176.0 nieprawidłowo ogranicza dostęp do punktu końcowego REST API umożliwiającego zapis, co pozwala użytkownikom z niższymi uprawnieniami (np. redaktorom) na modyfikację ustawień wtyczki, które powinny być dostępne tylko dla administratorów.

CVE-2026-10749
Wysokie

Wtyczka Post Duplicator dla WordPressa przed wersją 3.0.15 nieprawidłowo obsługuje niestandardowe metadane podczas duplikacji postów, co pozwala na przechowywanie wartości dostarczonych przez atakującego bez ochrony podwójnej serializacji API metadanych WordPressa.

CVE-2026-10735
Wysokie

Wtyczki WordPress, takie jak Shapedsmart-post-show-pro, Real Testimonials Pro oraz Product Slider for WooCommerce, przed określonymi wersjami zawierały złośliwy kod. Zostały one dystrybuowane przez skompromitowany serwer aktualizacji dostawcy, co umożliwiło atakującym bez uwierzytelnienia wdrożenie drugiego etapu ataku.

CVE-2026-10552
Średnie

Wtyczka Blue Captcha dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 2.0.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w głównym panelu administracyjnym oraz na podstronach, co pozwala na wykonywanie destrukcyjnych operacji przez nieautoryzowanych atakujących.

CVE-2026-10531
Średnie

Wtyczka AI Share & Summarize dla WordPressa przed wersją 2.0.4 nie oczyszcza i nie koduje niektórych atrybutów shortcode'ów przed wyświetleniem ich na stronie, co umożliwia użytkownikom z rolą Współautora i wyższym przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS).

CVE-2026-10092
Wysokie

Wtyczka Cincopa do WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode cincopa w komentarzach postów w wersjach do 1.163 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-10091
Wysokie

Wtyczka Email JavaScript Cloak dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'email' we wszystkich wersjach do 1.03 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-9539
Średnie

W bibliotece libslirp przed wersją v4.9.2 występuje podatność związana z odczytem pamięci poza zakresem oraz niedoborem całkowitym w obsłudze danych pilnych TCP. Atakujący z uprawnieniami gościa VM może wyciekować wrażliwe dane z pamięci hosta.

CVE-2026-12851
KrytyczneEPSS 74%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12850
KrytyczneEPSS 75%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12849
KrytyczneEPSS 74%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12848
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na porcie 10001, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.

CVE-2026-12847
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co prowadzi do potencjalnego przepełnienia bufora.

CVE-2026-12846
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co może prowadzić do nieautoryzowanego dostępu lub awarii urządzenia.

CVE-2026-12488
Średnie

W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.

CVE-2026-12486
KrytyczneEPSS 75%

Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.

CVE-2026-12485
Krytyczne

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na tym urządzeniu, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.

PoprzedniaStrona 243 z 4580Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS