Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka Five Star Restaurant Menu w wersji 2.5.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Podatność w Object Cache 4 everyone w wersjach do 2.3.2 umożliwia nieuwierzytelnionemu atakującemu dostęp do wrażliwych danych. Brak wymaganego uwierzytelnienia prowadzi do ujawnienia poufnych informacji.
Wtyczka Enable CORS w wersjach do 2.0.3 zawiera nieuwierzytelnione tylne drzwi, które mogą zostać wykorzystane przez nieautoryzowanego atakującego.
Podatność wtyczki Gutenverse Companion w wersji 2.5.0 i niższych umożliwia niezautoryzowanym atakującym ominięcie kontroli dostępu. Luka ta wynika z nieprawidłowej weryfikacji uprawnień, co pozwala na wykonanie nieautoryzowanych operacji bez wymaganego uwierzytelnienia.
Wtyczka GeoDirectory w wersjach do 2.8.162 zawiera podatność na wstrzykiwanie SQL, którą może wykorzystać niezalogowany atakujący. Luka umożliwia wykonanie nieautoryzowanych zapytań do bazy danych.
Podatność SQL Injection w wtyczce Real Estate 7 w wersjach do 3.5.9 umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu SQL. Może to prowadzić do nieautoryzowanego dostępu do bazy danych i wycieku danych.
Wtyczka SupportCandy w wersji 3.4.6 i starszych zawiera podatność na niebezpieczne bezpośrednie odwołania do obiektów (IDOR) dla subskrybentów. Umożliwia to nieautoryzowany dostęp do danych innych użytkowników.
Wtyczka wpDataTables w wersji 7.4 i starszych zawiera podatność na wstrzykiwanie SQL (SQL Injection) bez wymaganego uwierzytelnienia. Atakujący może zdalnie wykonać dowolne zapytania SQL, co prowadzi do nieautoryzowanego dostępu do bazy danych.
Wtyczka Ads by WPQuads w wersji 3.0.3 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniej kontroli dostępu do danych przechowywanych przez wtyczkę.
Podatność SQL Injection w wtyczce JetBooking w wersjach do 4.0.4.1 umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego kodu SQL do zapytań bazy danych.
Wtyczka User Registration w wersji 5.2.2 i starszych zawiera podatność na nieuwierzytelniony, nieskuteczny mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może wykorzystać tę lukę do nieautoryzowanych działań.
Podatność w pluginie Mattermost Agents MCP server pozwala atakującemu z dostępem do serwera MCP w trybie stdio na wykonanie fałszowania żądań po stronie serwera (SSRF) poprzez podanie wewnętrznych adresów URL jako załączników w żądaniach tworzenia postów. Problem dotyczy wersji 10.11.x <= 10.11.18, 11.6.x <= 11.6.3 oraz 11.5.x <= 11.5.6.
Podatność w implementacji KTLS w jądrze FreeBSD powoduje, że podczas odbioru danych przez KTLS na połączeniu loopback, dane pochodzące z sendfile(2) są odszyfrowywane w miejscu, nadpisując stronę pamięci podręcznej pliku zamiast prywatnej kopii. Umożliwia to nieuprzywilejowanemu użytkownikowi lokalnemu nadpisanie zawartości plików, które może odczytać, poprzez wysłanie ich przez połączenie loopback z włączonym odbiorem KTLS.
Podatność w funkcji thr_kill2(2) systemu FreeBSD pozwala na wysłanie sygnału do dowolnego procesu bez sprawdzenia uprawnień. Brak weryfikacji wyniku funkcji p_cansignal() umożliwia nieuprzywilejowanemu użytkownikowi wysłanie sygnału do procesów innych użytkowników lub roota, a także do procesów poza granicami jądra (jail).
Podatność w Mattermost umożliwia uwierzytelnionemu atakującemu kradzież danych poprzez wstrzyknięcie składni obrazka Markdown do wyników narzędzi AI bota. Ograniczenia renderowania obrazków Markdown nie są prawidłowo stosowane do postów z wynikami narzędzi AI, co pozwala na wyciek danych do kontrolowanego przez atakującego serwera po wyrenderowaniu przez klient ofiary.
W parserze PSD programu FastStone Image Viewer w wersji 8.3 występuje przepełnienie liczby całkowitej. Umożliwia ono atakującemu wykonanie dowolnego kodu lub spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku PSD.
Podatność przepełnienia sterty w procesie FSViewer.exe programu FastStone Image Viewer w wersji 8.3 umożliwia atakującemu wykonanie dowolnego kodu w kontekście bieżącego procesu poprzez dostarczenie spreparowanego pliku JPEG 2000 (JP2).
Podatność wtyczki SiteGround Email Marketing w wersjach do 1.7.5 umożliwia niezautoryzowanym atakującym ominięcie kontroli dostępu. Brak wymaganego uwierzytelnienia pozwala na nieautoryzowane operacje na zasobach wtyczki.
Wtyczka BNE Testimonials w wersji 2.0.8 i starszych zawiera podatność na atak XSS (Cross Site Scripting) ze strony współtwórców. Umożliwia to wstrzyknięcie złośliwego kodu JavaScript przez autora treści.
Podatność Cross Site Scripting (XSS) wtyczki Contributor Cross Site Scripting (XSS) w Image Carousel w wersjach do 1.0.0.41 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony. Luka występuje z powodu niewystarczającego filtrowania danych wejściowych.

