Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12158
Wysokie

Wtyczka RegistrationMagic – User Registration Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 6.0.9.1 włącznie. Brak walidacji nonce w funkcji process_request umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień dowolnego użytkownika formularza do administratora poprzez utworzenie złośliwego zadania Chronos wykonywanego przez cron WordPressa.

CVE-2026-11387
Krytyczne

Wtyczka SMS Alert dla WordPressa (do wersji 3.9.5) umożliwia nieuwierzytelnionemu atakującemu przejęcie konta administratora poprzez zmianę adresu e-mail i zresetowanie hasła. Podatność występuje, gdy włączona jest weryfikacja OTP przy resetowaniu hasła, a administrator ma ustawiony numer telefonu.

CVE-2026-10540
Średnie

Control-M/Enterprise Manager używa słabych zabezpieczeń dla przechowywanych skrótów haseł kont, co może umożliwić ataki offline na odzyskanie haseł, jeśli dane uwierzytelniające zostaną uzyskane przez atakującego. Podatność dotyczy niewspieranych wersji 9.0.20.x oraz potencjalnie wcześniejszych niewspieranych wersji.

CVE-2026-10539
Krytyczne

Podatność w komunikacji Control-M/Server pozwala nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanych komend z powodu niedostatecznego filtrowania danych wejściowych. Problem dotyczy wersji 9.0.20.x do 9.0.21.200 oraz potencjalnie wcześniejszych nieobsługiwanych wersji.

CVE-2026-10538
Wysokie

Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.

CVE-2026-10096
Średnie

Wtyczka Qi Blocks dla WordPressa jest podatna na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w wersjach do 1.4.9 włącznie. Brak walidacji parametru 'page_id' umożliwia uwierzytelnionym atakującym z dostępem autora i wyższym modyfikację stylów Qi Blocks w dowolnych postach, szablonach lub widgetach, których nie są właścicielami, w tym na powierzchniach ogólnoserwisowych poprzez zarezerwowane wartości 'template' i 'widget'.

CVE-2026-1239
Wysokie

Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.

CVE-2026-14193
Wysokie

Podatność w urządzeniu DVP80ES300T wynika z nieprawidłowej walidacji indeksu tablicy, co może umożliwić atakującemu wykonanie kodu lub spowodowanie awarii systemu.

CVE-2026-12579
Wysokie

Urządzenie AS228T zawiera podatność umożliwiającą obejście uwierzytelniania. Atakujący może uzyskać nieautoryzowany dostęp do systemu bez znajomości prawidłowych poświadczeń.

CVE-2026-11887
Średnie

Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.

CVE-2026-11883
Wysokie

Wtyczka WebAuthn Provider for Two Factor dla WordPressa przed wersją 2.5.6 nieprawidłowo weryfikuje odpowiedź uwierzytelniania drugiego czynnika, co pozwala atakującemu znającemu hasło użytkownika na ominięcie wymogu uwierzytelniania dwuskładnikowego poprzez przesłanie zniekształconego żądania.

CVE-2026-11880
Niskie

Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.1 nie weryfikuje poprawnie własności przed przetworzeniem żądania anulowania subskrypcji, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami na anulowanie subskrypcji należących do innych użytkowników.

CVE-2026-11823
Wysokie

Wtyczka BookingPress Appointment Booking Pro dla WordPressa do wersji 5.7.1 włącznie zawiera podatność na iniekcję SQL w parametrze 'store_service_date' funkcji bpa_assign_staffmember_to_slots(). Problem wynika z użycia stripslashes_deep() na danych POST bez przygotowania zapytania przez $wpdb->prepare(), co pozwala nieuwierzytelnionym atakującym na dołączanie dodatkowych zapytań SQL.

CVE-2026-11794
Wysokie

Wtyczka Advanced Form Integration dla WordPress przed wersją 2.1.1 nie ogranicza roli WordPress przypisywanej podczas tworzenia użytkownika z publicznego formularza. Umożliwia to niezalogowanym odwiedzającym utworzenie konta administratora, jeśli aktywna integracja mapuje rolę użytkownika na publiczne pole formularza, co wymaga specyficznej, niestandardowej konfiguracji.

CVE-2026-11570
Średnie

Wtyczka User Submitted Posts dla WordPressa przed wersją 20260608 nie zabezpiecza przesłanej wartości przed wyświetleniem jej w szablonie skonfigurowanym przez administratora, co prowadzi do podatności na trwałe Cross-Site Scripting (XSS). Podatność może być wykorzystana przez nieuwierzytelnionych użytkowników, gdy włączona jest niestandardowa opcja wyświetlania.

CVE-2026-11568
Wysokie

Wtyczka Product Configurator for WooCommerce dla WordPressa przed wersją 1.7.3 nie przeprowadza autoryzacji ani nie sprawdza statusu publikacji przed zwróceniem danych produktów WooCommerce przez publiczną akcję AJAX. Umożliwia to nieuwierzytelnionym użytkownikom pobranie danych (tytuł, cena, waga, status magazynowy oraz opcje konfiguratora z cenami/SKU) prywatnych i szkicowych produktów poprzez podanie ich identyfikatora, omijając kontrolę widoczności postów WordPress.

CVE-2026-11562
Średnie

Wtyczka WS Form LITE dla WordPressa przed wersją 1.11.8 nie posiada sprawdzenia uprawnień w jednej z akcji aktualizacji ustawień, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie subskrybenta i wyższym na modyfikację ustawień wtyczki.

CVE-2026-10750
Wysokie

Wtyczka Royal MCP dla WordPress przed wersją 1.4.26 nie sprawdza uprawnień dla większości swoich narzędzi MCP po uwierzytelnieniu tokenem, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami, takim jak Subskrybent, na odczytywanie prywatnych treści, wyliczanie wszystkich użytkowników i ich ról oraz tworzenie, modyfikowanie lub usuwanie treści należących do innych użytkowników.

CVE-2025-15666
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 5.4.3 wykryto podatność w funkcji Assimp::SceneCombiner::Copy pliku SceneCombiner.cpp. Manipulacja argumentami szerokości/wysokości prowadzi do przepełnienia bufora sterty.

CVE-2026-9107
Średnie

Wtyczka Kali Forms dla WordPressa do wersji 2.4.13 zawiera podatność na trwałe ataki XSS przez parametr 'meta[kaliforms_field_components]'. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

PoprzedniaStrona 35 z 4486Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS