Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka Zegen w wersji 1.1.9 i starszych umożliwia subskrybentowi przesyłanie dowolnych plików na serwer. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania bez odpowiedniej autoryzacji.
Wtyczka Werkstatt dla WordPressa w wersji 4.8.3 i starszych zawiera podatność na wstrzykiwanie obiektów PHP (PHP Object Injection) przez mechanizm contributor. Umożliwia to atakującemu przesłanie złośliwych danych, które mogą prowadzić do zdalnego wykonania kodu.
Wtyczka Pearl - Corporate Business w wersji 3.4.10 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez wymagania uwierzytelnienia.
Wtyczka NativeChurch w wersjach do 4.8.8.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
W systemie LMS w wersji 9.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.
Wtyczka Kids Life | Children School dla WordPress w wersji 5.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka ARMember Premium w wersji 7.0 i starszych zawiera podatność na wstrzykiwanie obiektów PHP przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwy obiekt PHP, co może prowadzić do zdalnego wykonania kodu.
u5CMS do wersji 12.8.8 zawiera podatność na odbity XSS przez parametr 'thanks' w wielu komponentach formularzy.
Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę GetEndpoints Discovery Service w bibliotece open62541. Pole endpointUrl w żądaniu GetEndpointsRequest nie jest walidowane pod kątem długości, co pozwala na zadeklarowanie dowolnie dużego ciągu znaków (do ~4,09 GB) dostarczanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bez ograniczeń aż do czasu wygaśnięcia SecureChannel.
W motywie WordPress Kids Zone - Children w wersji 5.4 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.
W motywie WordPress Fitness Zone w wersji 5.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.
W motywie WordPress Beauty Salon firmy SpaLab w wersji 6.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.
Wtyczka Trendy Travel w wersji 6.7 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wtyczka Artale | Wedding Photography dla WordPressa w wersji 2.2.2 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka OpenAI Chatbot for WordPress – Helper w wersji 1.1.4 i starszych zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu usunięcie dowolnej treści. Luka wynika z braku odpowiedniej autoryzacji i walidacji danych wejściowych.
Wtyczka Tourmaster w wersji 5.4.5 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez subskrybenta. Umożliwia to uwierzytelnionemu użytkownikowi z rolą subskrybenta odczyt dowolnych plików na serwerze.
Wtyczka Corpkit w wersji 1.0.5 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji.
Wtyczka Unicamp w wersji 2.2.2 i starszych zawiera podatność na wstrzykiwanie SQL przez subskrybenta. Atakujący z uprawnieniami subskrybenta może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.
W Lighthouse w wersjach do 1.2.12 występuje podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Umożliwia ona atakującemu bez uwierzytelnienia odczyt dowolnych plików z serwera.

