Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-13252
Średnie

Wtyczka RSS Aggregator by Feedzy dla WordPress do wersji 5.2.1 włącznie zawiera podatność na trwałe ataki XSS przez atrybut 'aspectRatio'. Brak odpowiedniej sanitizacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym dostępie do zainfekowanej strony.

CVE-2026-13251
WysokieEPSS 53%

Wtyczka Perfmatters dla WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 2.6.4 włącznie poprzez parametr 's'. Umożliwia to nieuwierzytelnionym atakującym odczyt zawartości dowolnych plików na serwerze, które mogą zawierać wrażliwe informacje.

CVE-2026-12657
Średnie

Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.

CVE-2026-12472
Średnie

Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na pominięcie autoryzacji. Nieuwierzytelniony atakujący może wysyłać dowolne e-maile z wstrzykniętym kodem HTML, w tym phishingowe z prawdziwym linkiem do resetowania hasła, wykorzystując serwer pocztowy witryny i jego reputację SPF/DKIM.

CVE-2026-12134
Średnie

Wtyczka JoomSport dla WordPressa do wersji 5.7.8 zawiera podatność polegającą na pominięciu autoryzacji. Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym tworzenie dowolnych grup sezonów oraz modyfikację istniejących nazw grup, uczestników i opcji rund. Wykorzystanie podatności wymaga uzyskania nonce (joomsportajaxnonce), które jest ujawniane na stronach frontendowych renderujących shortcode JoomSport.

CVE-2026-12122
Średnie

Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na ujawnienie wrażliwych informacji poprzez funkcję get_single_symbol. Niezautoryzowani atakujący mogą wyodrębnić pełne metadane i wyrenderowany HTML dowolnego posta kirki_symbol, włączając nieopublikowane szkice, poprzez podanie sekwencyjnego ID posta.

CVE-2026-11896
Średnie

Wtyczka My Calendar – Accessible Event Manager dla WordPressa do wersji 3.7.14 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'vcal'. Brak walidacji klucza kontrolowanego przez użytkownika umożliwia nieuwierzytelnionym atakującym enumerację identyfikatorów zdarzeń i dostęp do pełnego eksportu iCalendar niepublicznych, szkicowych, usuniętych i prywatnych wydarzeń kalendarza.

CVE-2026-10104
Średnie

Wtyczka Product Video Gallery dla Woocommerce do WordPressa jest podatna na przechowywany atak XSS przez parametr custom_thumbnail we wszystkich wersjach do 1.5.1.8 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku kodowania wyjścia.

CVE-2026-9563
Wysokie

W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.

CVE-2026-8147
Wysokie

W MLflow przed wersją 3.14.0, przy włączonym uwierzytelnianiu, endpointy API śledzenia (trace) nie mają odpowiednich walidatorów autoryzacji. Umożliwia to każdemu uwierzytelnionemu użytkownikowi ominięcie kontroli autoryzacji na poziomie eksperymentu dla wszystkich operacji na śladach, w tym odczytu, usuwania i modyfikacji śladów w eksperymentach, do których nie ma uprawnień. Problem wynika z procedury `_before_request`, która nie rejestruje walidatorów autoryzacji dla endpointów śledzenia, co powoduje, że żądania są przetwarzane bez weryfikacji.

CVE-2026-33592
Wysokie

Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę FindServers Discovery w bibliotece open62541. Pole serverUris w żądaniu FindServersRequest nie jest walidowane pod kątem długości ani rozmiaru tablicy, co pozwala na deklarację dowolnie dużego ciągu znaków (do ~3,9 GB) przesyłanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bezterminowo, aż do czasu wygaśnięcia SecureChannel.

CVE-2026-5821
Wysokie

Wtyczka Image Optimizer dla WordPressa w wersjach do 1.7.4 zawiera podatność na usuwanie dowolnych plików. Wynika to z braku walidacji ścieżek w funkcji Image_Backup::remove(), gdzie ścieżki plików kopii zapasowych przechowywane w metadanych posta są używane bezpośrednio w operacjach usuwania bez sprawdzenia, czy znajdują się w katalogu uploads. Uwierzytelniony atakujący z dostępem na poziomie Autora może zmodyfikować pole meta image_optimizer_metadata we własnych załącznikach, wstrzykując dowolne ścieżki plików, które zostaną usunięte po skasowaniu załącznika.

CVE-2026-5348
Średnie

Wtyczka Academy LMS dla WordPressa do wersji 3.8.1 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w punkcie końcowym REST API '/topics'. Brak weryfikacji uprawnień umożliwia nieuwierzytelnionym atakującym dostęp do szczegółowych danych kursów, w tym tych prywatnych, wersji roboczych, zaplanowanych lub chronionych hasłem.

CVE-2026-14249
Wysokie

Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].

CVE-2026-13704
Średnie

Wtyczka GiveWP dla WordPressa jest podatna na trwałe ataki XSS poprzez parametr 'sequoia[introduction][image]' w wersjach do 4.16.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.

CVE-2026-13357
Średnie

Wtyczka Houzez Property Feed dla WordPressa zawiera podatność na iniekcję SQL w parametrze 'orderby' we wszystkich wersjach do 2.5.46 włącznie. Problem wynika z niedostatecznego oczyszczenia danych wejściowych i braku odpowiedniego przygotowania zapytania SQL w metodzie prepare_items() klas Houzez_Property_Feed_Admin_Logs_Export_Table i Houzez_Property_Feed_Admin_Logs_Import_Table.

CVE-2026-11965
Średnie

Wtyczka User Registration & Membership dla WordPress przed wersją 5.2.0 nie wymusza finalizacji płatności przed aktywacją płatnej subskrypcji członkowskiej. Umożliwia to niezalogowanym użytkownikom (po samodzielnej rejestracji konta przez otwarty proces rejestracji) uzyskanie aktywnej subskrypcji dowolnego płatnego planu bez płacenia i dostęp do treści chronionych.

CVE-2026-11781
Niskie

Wtyczka Adminify dla WordPress przed wersją 4.2.10 nie sprawdza uprawnień odczytu użytkownika w jednej z funkcji wyszukiwania administracyjnego, co pozwala użytkownikom z niskimi uprawnieniami (Contributor) na ujawnienie niepublicznych treści, takich jak tytuły nieopublikowanych postów innych autorów, treści oczekujących komentarzy, inwentarz wtyczki oraz nazwy kont użytkowników.

CVE-2026-11600
Średnie

Wtyczka Envo's Templates & Widgets dla Elementor i WooCommerce w wersji do 1.4.26 zawiera brak autoryzacji w widżecie Envo Tabs, co pozwala uwierzytelnionym atakującym z dostępem na poziomie autora na ujawnienie prywatnych treści Elementora. Poprzez podanie identyfikatora prywatnego szablonu w widżecie, atakujący może sprawić, że treść ta będzie widoczna dla anonimowych odwiedzających.

CVE-2026-11592
Średnie

Wtyczka Email Subscribers & Newsletters dla WordPressa w wersjach do 5.9.27 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą nadpisywać ustawienia poczty, tworzyć listy odbiorców, dodawać kontakty, tworzyć i nadpisywać newslettery, dodawać przepływy pracy oraz wysyłać masowe e-maile do dowolnych odbiorców.

PoprzedniaStrona 38 z 4514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS