Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka RegistrationMagic – User Registration Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 6.0.9.1 włącznie. Brak walidacji nonce w funkcji process_request umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień dowolnego użytkownika formularza do administratora poprzez utworzenie złośliwego zadania Chronos wykonywanego przez cron WordPressa.
Wtyczka SMS Alert dla WordPressa (do wersji 3.9.5) umożliwia nieuwierzytelnionemu atakującemu przejęcie konta administratora poprzez zmianę adresu e-mail i zresetowanie hasła. Podatność występuje, gdy włączona jest weryfikacja OTP przy resetowaniu hasła, a administrator ma ustawiony numer telefonu.
Control-M/Enterprise Manager używa słabych zabezpieczeń dla przechowywanych skrótów haseł kont, co może umożliwić ataki offline na odzyskanie haseł, jeśli dane uwierzytelniające zostaną uzyskane przez atakującego. Podatność dotyczy niewspieranych wersji 9.0.20.x oraz potencjalnie wcześniejszych niewspieranych wersji.
Podatność w komunikacji Control-M/Server pozwala nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanych komend z powodu niedostatecznego filtrowania danych wejściowych. Problem dotyczy wersji 9.0.20.x do 9.0.21.200 oraz potencjalnie wcześniejszych nieobsługiwanych wersji.
Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.
Wtyczka Qi Blocks dla WordPressa jest podatna na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w wersjach do 1.4.9 włącznie. Brak walidacji parametru 'page_id' umożliwia uwierzytelnionym atakującym z dostępem autora i wyższym modyfikację stylów Qi Blocks w dowolnych postach, szablonach lub widgetach, których nie są właścicielami, w tym na powierzchniach ogólnoserwisowych poprzez zarezerwowane wartości 'template' i 'widget'.
Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.
Podatność w urządzeniu DVP80ES300T wynika z nieprawidłowej walidacji indeksu tablicy, co może umożliwić atakującemu wykonanie kodu lub spowodowanie awarii systemu.
Urządzenie AS228T zawiera podatność umożliwiającą obejście uwierzytelniania. Atakujący może uzyskać nieautoryzowany dostęp do systemu bez znajomości prawidłowych poświadczeń.
Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.
Wtyczka WebAuthn Provider for Two Factor dla WordPressa przed wersją 2.5.6 nieprawidłowo weryfikuje odpowiedź uwierzytelniania drugiego czynnika, co pozwala atakującemu znającemu hasło użytkownika na ominięcie wymogu uwierzytelniania dwuskładnikowego poprzez przesłanie zniekształconego żądania.
Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.1 nie weryfikuje poprawnie własności przed przetworzeniem żądania anulowania subskrypcji, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami na anulowanie subskrypcji należących do innych użytkowników.
Wtyczka BookingPress Appointment Booking Pro dla WordPressa do wersji 5.7.1 włącznie zawiera podatność na iniekcję SQL w parametrze 'store_service_date' funkcji bpa_assign_staffmember_to_slots(). Problem wynika z użycia stripslashes_deep() na danych POST bez przygotowania zapytania przez $wpdb->prepare(), co pozwala nieuwierzytelnionym atakującym na dołączanie dodatkowych zapytań SQL.
Wtyczka Advanced Form Integration dla WordPress przed wersją 2.1.1 nie ogranicza roli WordPress przypisywanej podczas tworzenia użytkownika z publicznego formularza. Umożliwia to niezalogowanym odwiedzającym utworzenie konta administratora, jeśli aktywna integracja mapuje rolę użytkownika na publiczne pole formularza, co wymaga specyficznej, niestandardowej konfiguracji.
Wtyczka User Submitted Posts dla WordPressa przed wersją 20260608 nie zabezpiecza przesłanej wartości przed wyświetleniem jej w szablonie skonfigurowanym przez administratora, co prowadzi do podatności na trwałe Cross-Site Scripting (XSS). Podatność może być wykorzystana przez nieuwierzytelnionych użytkowników, gdy włączona jest niestandardowa opcja wyświetlania.
Wtyczka Product Configurator for WooCommerce dla WordPressa przed wersją 1.7.3 nie przeprowadza autoryzacji ani nie sprawdza statusu publikacji przed zwróceniem danych produktów WooCommerce przez publiczną akcję AJAX. Umożliwia to nieuwierzytelnionym użytkownikom pobranie danych (tytuł, cena, waga, status magazynowy oraz opcje konfiguratora z cenami/SKU) prywatnych i szkicowych produktów poprzez podanie ich identyfikatora, omijając kontrolę widoczności postów WordPress.
Wtyczka WS Form LITE dla WordPressa przed wersją 1.11.8 nie posiada sprawdzenia uprawnień w jednej z akcji aktualizacji ustawień, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie subskrybenta i wyższym na modyfikację ustawień wtyczki.
Wtyczka Royal MCP dla WordPress przed wersją 1.4.26 nie sprawdza uprawnień dla większości swoich narzędzi MCP po uwierzytelnieniu tokenem, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami, takim jak Subskrybent, na odczytywanie prywatnych treści, wyliczanie wszystkich użytkowników i ich ról oraz tworzenie, modyfikowanie lub usuwanie treści należących do innych użytkowników.
W bibliotece Open Asset Import Library Assimp do wersji 5.4.3 wykryto podatność w funkcji Assimp::SceneCombiner::Copy pliku SceneCombiner.cpp. Manipulacja argumentami szerokości/wysokości prowadzi do przepełnienia bufora sterty.
Wtyczka Kali Forms dla WordPressa do wersji 2.4.13 zawiera podatność na trwałe ataki XSS przez parametr 'meta[kaliforms_field_components]'. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

