Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka Unicamp w wersji 2.2.2 i starszych zawiera podatność na wstrzykiwanie SQL przez subskrybenta. Atakujący z uprawnieniami subskrybenta może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.
W Lighthouse w wersjach do 1.2.12 występuje podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Umożliwia ona atakującemu bez uwierzytelnienia odczyt dowolnych plików z serwera.
W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.
Biblioteka liboauth2 jest podatna na atak SSRF (Server-Side Request Forgery) w funkcji oauth2_jose_jwks_aws_alb_resolve(). Weryfikator AWS ALB odczytuje zarówno pole signer, jak i kid z niezweryfikowanego nagłówka JWT. Jeśli signer pasuje do skonfigurowanego ARN, wartość kid jest dołączana do alb_base_url bez kodowania URL ani sanityzacji ścieżki, a żądanie HTTP GET jest wysyłane przed weryfikacją podpisu.
Wtyczka WP Database Backup dla WordPressa do wersji 7.11 zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego przez parametr `wp_db_exclude_table`. Atakujący z uprawnieniami administratora może wysłać złośliwe dane, które są bezpośrednio łączone z poleceniem `mysqldump` bez odpowiedniego zabezpieczenia, co umożliwia wykonanie dowolnych poleceń na serwerze.
Wtyczka Wappointment dla WordPressa do wersji 2.7.6 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Klucz autoryzacyjny `edit_key` jest generowany jako przewidywalny, niesolony hash MD5 z sekwencyjnego identyfikatora klienta, publicznie dostępnego znacznika czasu i małego identyfikatora personelu, co pozwala nieuwierzytelnionym atakującym na obliczenie go i anulowanie lub przełożenie wizyt innych użytkowników.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa do wersji 1.5.1 zawiera podatność na dowolne kopiowanie plików. Funkcja create_entry_el() przekazuje wartość raw_value z obiektu Form_Record Elementor Pro bezpośrednio do funkcji copy() bez walidacji, co pozwala atakującemu na skopiowanie dowolnego pliku z serwera lub z zewnętrznego URL.
W oprogramowaniu StormShield Network Security w wersjach od 4.3.0 do 4.3.41, od 4.8.0 do 4.8.15 oraz od 5.0.0 do 5.0.5 wykryto podatność umożliwiającą wyciek tajnych informacji podczas przekazywania poleceń administracyjnych za pomocą narzędzia CLI. Osoba posiadająca dostęp SSH do firewalla (gdy włączony jest tryb wieloużytkownika SSH) może potencjalnie uzyskać hasło proxy CA lub hasło TPM.
Wtyczka WP Review Slider Pro dla WordPressa zawiera podatność na wstrzykiwanie SQL przez parametr 'notinstring' w akcji AJAX wprp_load_more_revs. Niezabezpieczona wartość jest łączona bezpośrednio w klauzulę AND id NOT IN (...), co pozwala nieuwierzytelnionemu atakującemu na ekstrakcję danych z bazy.
Podatność w PIA polega na użyciu prostego sprawdzenia prefiksu ciągu znaków dla listy dozwolonych wystawców OIDC, zamiast walidacji jako w pełni kwalifikowanego URL-a z ograniczeniem do hosta. Atakujący może skonstruować złośliwego wystawcę, który spełnia warunek prefiksu, ale wskazuje na kontrolowany przez niego serwer. Umożliwia to nieuwierzytelnionemu wywołaniu endpointu POST /v1/upload/sbom wymuszenie wychodzących żądań HTTP(S) do dowolnego hosta oraz akceptację tokena JWT podpisanego kluczem atakującego.
Wtyczka Groundhogg dla WordPressa (wersje do 4.5.8) zawiera podatność na wstrzykiwanie SQL przez parametr 'select'. Uwierzytelniony atakujący z dostępem na poziomie niestandardowej roli i wyższym może dołączać dodatkowe zapytania SQL, co pozwala na wyodrębnienie wrażliwych danych z bazy.
Wtyczka JetFormBuilder dla WordPressa do wersji 3.6.3 zawiera lukę w autoryzacji, umożliwiającą nieuwierzytelnionym atakującym odczyt dowolnych wartości z meta postów, w tym danych osobowych WooCommerce, sum zamówień, ścieżek załączników oraz tokenów innych wtyczek. Wykorzystanie wymaga istnienia na stronie przynajmniej jednego opublikowanego formularza z polem generatora get_from_db.
Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.29 włącznie zawiera podatność na odczyt dowolnych plików. Funkcja attach_files() wykorzystuje nieprawidłowo walidowaną tablicę 'files' dostarczaną przez atakującego, co pozwala na ominięcie walidacji przesyłania, normalizacji ścieżki i tworzenia rekordów bazy danych. W rezultacie nieuwierzytelniony atakujący może odczytać dowolne pliki na serwerze.
Wtyczka RSS Aggregator by Feedzy dla WordPress do wersji 5.2.1 włącznie zawiera podatność na trwałe ataki XSS przez atrybut 'aspectRatio'. Brak odpowiedniej sanitizacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym dostępie do zainfekowanej strony.
Wtyczka Perfmatters dla WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 2.6.4 włącznie poprzez parametr 's'. Umożliwia to nieuwierzytelnionym atakującym odczyt zawartości dowolnych plików na serwerze, które mogą zawierać wrażliwe informacje.
Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.
Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na pominięcie autoryzacji. Nieuwierzytelniony atakujący może wysyłać dowolne e-maile z wstrzykniętym kodem HTML, w tym phishingowe z prawdziwym linkiem do resetowania hasła, wykorzystując serwer pocztowy witryny i jego reputację SPF/DKIM.
Wtyczka JoomSport dla WordPressa do wersji 5.7.8 zawiera podatność polegającą na pominięciu autoryzacji. Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym tworzenie dowolnych grup sezonów oraz modyfikację istniejących nazw grup, uczestników i opcji rund. Wykorzystanie podatności wymaga uzyskania nonce (joomsportajaxnonce), które jest ujawniane na stronach frontendowych renderujących shortcode JoomSport.
Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na ujawnienie wrażliwych informacji poprzez funkcję get_single_symbol. Niezautoryzowani atakujący mogą wyodrębnić pełne metadane i wyrenderowany HTML dowolnego posta kirki_symbol, włączając nieopublikowane szkice, poprzez podanie sekwencyjnego ID posta.

