Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.
Wtyczka WP Fast Total Search w wersji 1.80.280 i starszych zawiera podatność na nieuwierzytelnione wstrzyknięcie SQL. Atakujący bez logowania może wysyłać spreparowane zapytania do bazy danych.
W wersjach GeekyBot do 1.2.5 włącznie występuje podatność na nieuwierzytelnione wstrzyknięcie SQL. Osoba atakująca może zdalnie wykonać dowolne zapytania SQL bez konieczności logowania.
Wtyczka Novalnet Payment Gateway dla WooCommerce w wersji 12.10.3 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wysłać spreparowane żądanie, co prowadzi do wykonania dowolnego kodu PHP na serwerze.
Wtyczka Admin and Site Enhancements (ASE) Pro w wersji 8.8.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka Blocksy Companion Pro w wersji 2.1.46 i starszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność ta wynika z braku odpowiedniego uwierzytelnienia w jednym z endpointów API.
Wtyczka W3 Total Cache w wersjach do 2.9.4 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Luka ta wynika z braku odpowiedniej walidacji danych wejściowych w mechanizmie buforowania.
Wtyczka Booktics w wersji 1.0.21 i starszych zawiera podatność na nieuwierzytelnione wstrzykiwanie obiektów PHP. Atakujący może zdalnie wstrzyknąć złośliwy obiekt PHP bez konieczności logowania.
Wtyczka Five Star Business Profile and Schema dla WordPressa w wersji 2.3.19 i starszych zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu przez edytor. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad witryną.
Wtyczka Zegen w wersji 1.1.9 i starszych umożliwia subskrybentowi przesyłanie dowolnych plików na serwer. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania bez odpowiedniej autoryzacji.
Podatność typu path traversal w komponencie Git Service Altium Enterprise Server i Altium 365 umożliwia uwierzytelnionemu użytkownikowi z podstawowym dostępem do Gita przenoszenie dowolnych plików poza docelowy obszar repozytorium. Może to prowadzić do zdalnego wykonania kodu na koncie Git Service poprzez umieszczenie skryptów w katalogach wykonywanych przez usługę.
Podatność use-after-free w komponencie ANGLE przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML.
W przeglądarce Google Chrome na systemie Mac, w komponencie Dawn, przed wersją 150.0.7871.46, występuje podatność use-after-free. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność typu Type Confusion w komponencie Tint przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka.
Podatność w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez specjalnie spreparowaną stronę HTML. Błąd polega na odczycie i zapisie poza dozwolonym obszarem pamięci.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w bibliotece Skia. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w komponencie Dawn. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu poza dozwolonym zakresem pamięci.
W Google Chrome przed wersją 150.0.7871.46 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie ANGLE. Luka ta umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy przeglądarki za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 w silniku V8 występuje podatność polegająca na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do wykonania dowolnego kodu w środowisku piaskownicy.

