Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-27419
Krytyczne

Wtyczka Zegen w wersji 1.1.9 i starszych umożliwia subskrybentowi przesyłanie dowolnych plików na serwer. Podatność ta może zostać wykorzystana do wgrania złośliwego oprogramowania bez odpowiedniej autoryzacji.

CVE-2026-27414
Wysokie

Wtyczka Werkstatt dla WordPressa w wersji 4.8.3 i starszych zawiera podatność na wstrzykiwanie obiektów PHP (PHP Object Injection) przez mechanizm contributor. Umożliwia to atakującemu przesłanie złośliwych danych, które mogą prowadzić do zdalnego wykonania kodu.

CVE-2026-27412
Wysokie

Wtyczka Pearl - Corporate Business w wersji 3.4.10 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez wymagania uwierzytelnienia.

CVE-2026-27408
Wysokie

Wtyczka NativeChurch w wersjach do 4.8.8.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27404
Wysokie

W systemie LMS w wersji 9.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27402
Wysokie

Wtyczka Kids Life | Children School dla WordPress w wersji 5.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27060
Wysokie

Wtyczka ARMember Premium w wersji 7.0 i starszych zawiera podatność na wstrzykiwanie obiektów PHP przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwy obiekt PHP, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-14449
Średnie

u5CMS do wersji 12.8.8 zawiera podatność na odbity XSS przez parametr 'thanks' w wielu komponentach formularzy.

CVE-2026-11946
Wysokie

Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę GetEndpoints Discovery Service w bibliotece open62541. Pole endpointUrl w żądaniu GetEndpointsRequest nie jest walidowane pod kątem długości, co pozwala na zadeklarowanie dowolnie dużego ciągu znaków (do ~4,09 GB) dostarczanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bez ograniczeń aż do czasu wygaśnięcia SecureChannel.

CVE-2025-69156
Wysokie

W motywie WordPress Kids Zone - Children w wersji 5.4 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69155
Wysokie

W motywie WordPress Fitness Zone w wersji 5.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69154
Wysokie

W motywie WordPress Beauty Salon firmy SpaLab w wersji 6.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69153
Wysokie

Wtyczka Trendy Travel w wersji 6.7 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2025-69152
Wysokie

Wtyczka Artale | Wedding Photography dla WordPressa w wersji 2.2.2 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2025-69134
Wysokie

Wtyczka OpenAI Chatbot for WordPress – Helper w wersji 1.1.4 i starszych zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu usunięcie dowolnej treści. Luka wynika z braku odpowiedniej autoryzacji i walidacji danych wejściowych.

CVE-2025-69133
Wysokie

Wtyczka Tourmaster w wersji 5.4.5 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez subskrybenta. Umożliwia to uwierzytelnionemu użytkownikowi z rolą subskrybenta odczyt dowolnych plików na serwerze.

CVE-2025-69132
Średnie

Wtyczka Corpkit w wersji 1.0.5 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji.

CVE-2025-69094
Wysokie

Wtyczka Unicamp w wersji 2.2.2 i starszych zawiera podatność na wstrzykiwanie SQL przez subskrybenta. Atakujący z uprawnieniami subskrybenta może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.

CVE-2025-66076
Średnie

Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.

CVE-2025-58902
Wysokie

W Lighthouse w wersjach do 1.2.12 występuje podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Umożliwia ona atakującemu bez uwierzytelnienia odczyt dowolnych plików z serwera.

PoprzedniaStrona 33 z 4511Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS