Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka H5P w wersji 1.17.7 i starszych zawiera podatność umożliwiającą współtwórcy (contributor) usunięcie dowolnego pliku na serwerze. Luka wynika z braku odpowiedniej walidacji uprawnień podczas operacji usuwania plików.
W systemie FOX w wersji 1.4.8 i starszych występuje podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS we wtyczce Simply Schedule Appointments w wersjach do 1.6.12.2 włącznie.
Podatność umożliwia zdalne wykonanie kodu (RCE) wtyczki Blocksy Companion Pro w wersjach do 2.1.45. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad serwerem.
Wtyczka SureCart w wersji 4.3.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w wtyczce Everest Forms w wersjach do 3.4.8 włącznie.
W kontrolerze REST API v2 aplikacji Teable brakuje adnotacji @Permissions na punktach końcowych ORPC, co pozwala każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji. Atakujący mogą odczytywać schematy tabel, tworzyć tabele oraz modyfikować lub usuwać rekordy w różnych bazach i tabelach za pomocą punktów końcowych takich jak GET /api/v2/tables/get i POST /api/v2/tables/updateRecords.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w motywie WoodMart w wersjach do 8.5.3 włącznie. Atak może być przeprowadzony bez konieczności logowania.
Podatność IDOR (Insecure Direct Object Reference) w wtyczce Toolset Forms w wersjach do 2.6.24 umożliwia nieuwierzytelnionemu atakującemu dostęp do nieautoryzowanych danych poprzez manipulację identyfikatorem obiektu.
Podatność SQL Injection wtyczki Tourfic w wersjach do 2.22.5 umożliwia subskrybentowi wstrzyknięcie złośliwego kodu SQL do zapytań bazy danych.
Podatność w wtyczce MailChimp Block w wersjach do 1.1.15 umożliwia nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Może to prowadzić do nieautoryzowanego dostępu do funkcji lub danych.
Wtyczka Subscriptions for WooCommerce w wersji 1.9.5 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowane operacje na subskrypcjach bez wymaganego uwierzytelnienia.
Wtyczka Print Invoice & Delivery Notes for WooCommerce w wersji 7.1.1 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniej autoryzacji, co pozwala na ujawnienie poufnych informacji bez konieczności logowania.
Podatność typu PHP Object Injection w wtyczce RealHomes w wersjach do 4.5.3 umożliwia atakującemu z rolą subskrybenta wstrzyknięcie złośliwego obiektu PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.
Wtyczka Perfmatters w wersji 2.6.3 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w wersjach wtyczki Automatic starszych niż 3.135.1.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS we wtyczce Blog2Social w wersji 8.9.2 i starszych. Atak może być przeprowadzony bez konieczności logowania, co zwiększa ryzyko eksploatacji.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS we wtyczce Customer Reviews for WooCommerce w wersji 5.110.1 i starszych.
Wtyczka Responsive Lightbox w wersji 2.7.6 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w formularzu Gutenverse w wersjach do 2.4.7 włącznie.

