Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13733
Średnie

Wtyczka Download Manager dla WordPressa jest podatna na trwałe ataki XSS przez atrybut shortcode 'no_data_msg' we wszystkich wersjach do 3.3.60 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i ucieczki wyjścia, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym na wstrzyknięcie dowolnych skryptów.

CVE-2026-12732
Średnie

Wtyczka LearnPress dla WordPressa jest podatna na trwałe ataki XSS poprzez atrybut shortcode 'class_wrapper_form' w wersjach do 4.4.0 włącznie. Atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

CVE-2026-12577
Wysokie

Urządzenie DVP80ES3 zawiera podatność polegającą na nieprawidłowo zaimplementowanej kontroli bezpieczeństwa dla standardu. Może to umożliwić atakującemu ominięcie mechanizmów zabezpieczających.

CVE-2026-12576
Wysokie

Urządzenie DVP80ES3 zawiera podatność polegającą na niewłaściwym egzekwowaniu integralności wiadomości podczas transmisji w kanale komunikacyjnym. Oznacza to, że atakujący może modyfikować przesyłane dane bez wykrycia.

CVE-2026-12575
Wysokie

Podatność w DVP80ES3 polega na nieprawidłowym zamykaniu lub zwalnianiu zasobów, co może prowadzić do wycieku pamięci lub innych problemów z wydajnością.

CVE-2026-12435
Średnie

Wtyczka Motors – Car Dealership & Classified Listings dla WordPressa do wersji 1.4.111 zawiera podatność polegającą na pominięciu autoryzacji. Uwierzytelniony atakujący z dostępem na poziomie subskrybenta może oznaczyć lub odznaczyć dowolne ogłoszenie innego użytkownika jako sprzedane, wykorzystując ważny token nonce z własnego ogłoszenia.

CVE-2026-12408
Średnie

Wtyczka Slim SEO dla WordPressa do wersji 4.9.8 włącznie zawiera podatność umożliwiającą nieautoryzowane ujawnienie prywatnych treści. Problem występuje w punkcie końcowym REST API `/wp-json/slim-seo/meta-tags/ai`, który nie sprawdza poprawnie uprawnień użytkownika do odczytu konkretnego posta, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym na pobranie podsumowania treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, przyszłych i chronionych hasłem.

CVE-2026-12224
Wysokie

Wtyczka Dokan Pro dla WordPressa jest podatna na eskalację uprawnień przez REST endpoint update_capabilities w wersjach do 5.0.4 włącznie. Brak walidacji dozwolonych uprawnień pozwala uwierzytelnionym atakującym z dostępem na poziomie Vendor lub wyższym na nadanie dowolnych uprawnień WordPressa, w tym administratora, kontom vendor_staff, co prowadzi do pełnego przejęcia strony.

CVE-2026-12158
Wysokie

Wtyczka RegistrationMagic – User Registration Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 6.0.9.1 włącznie. Brak walidacji nonce w funkcji process_request umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień dowolnego użytkownika formularza do administratora poprzez utworzenie złośliwego zadania Chronos wykonywanego przez cron WordPressa.

CVE-2026-11387
Krytyczne

Wtyczka SMS Alert dla WordPressa (do wersji 3.9.5) umożliwia nieuwierzytelnionemu atakującemu przejęcie konta administratora poprzez zmianę adresu e-mail i zresetowanie hasła. Podatność występuje, gdy włączona jest weryfikacja OTP przy resetowaniu hasła, a administrator ma ustawiony numer telefonu.

CVE-2026-10540
Średnie

Control-M/Enterprise Manager używa słabych zabezpieczeń dla przechowywanych skrótów haseł kont, co może umożliwić ataki offline na odzyskanie haseł, jeśli dane uwierzytelniające zostaną uzyskane przez atakującego. Podatność dotyczy niewspieranych wersji 9.0.20.x oraz potencjalnie wcześniejszych niewspieranych wersji.

CVE-2026-10539
Krytyczne

Podatność w komunikacji Control-M/Server pozwala nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanych komend z powodu niedostatecznego filtrowania danych wejściowych. Problem dotyczy wersji 9.0.20.x do 9.0.21.200 oraz potencjalnie wcześniejszych nieobsługiwanych wersji.

CVE-2026-10538
Wysokie

Podatność w funkcjonalności konsumenta komunikatów w nieobsługiwanych wersjach Control-M/Server i Control-M/Enterprise Manager 9.0.20.x i wcześniejszych umożliwia deserializację danych kontrolowanych przez użytkownika bez wystarczającego ograniczenia dozwolonych typów obiektów. Może to pozwolić uwierzytelnionemu atakującemu na wywołanie niezamierzonego zachowania po stronie serwera poprzez spreparowaną serializowaną zawartość.

CVE-2026-10096
Średnie

Wtyczka Qi Blocks dla WordPressa jest podatna na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w wersjach do 1.4.9 włącznie. Brak walidacji parametru 'page_id' umożliwia uwierzytelnionym atakującym z dostępem autora i wyższym modyfikację stylów Qi Blocks w dowolnych postach, szablonach lub widgetach, których nie są właścicielami, w tym na powierzchniach ogólnoserwisowych poprzez zarezerwowane wartości 'template' i 'widget'.

CVE-2026-1239
Wysokie

Wtyczka Ninja Forms dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia autoryzacji w wywołaniu zwrotnym REST 'ninja-forms-views/token/refresh' we wszystkich wersjach do 3.14.1 włącznie. Umożliwia to nieuwierzytelnionym atakującym przeglądanie przesłanych formularzy, które mogą zawierać wrażliwe informacje.

CVE-2026-14193
Wysokie

Podatność w urządzeniu DVP80ES300T wynika z nieprawidłowej walidacji indeksu tablicy, co może umożliwić atakującemu wykonanie kodu lub spowodowanie awarii systemu.

CVE-2026-12579
Wysokie

Urządzenie AS228T zawiera podatność umożliwiającą obejście uwierzytelniania. Atakujący może uzyskać nieautoryzowany dostęp do systemu bez znajomości prawidłowych poświadczeń.

CVE-2026-11887
Średnie

Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.

CVE-2026-11883
Wysokie

Wtyczka WebAuthn Provider for Two Factor dla WordPressa przed wersją 2.5.6 nieprawidłowo weryfikuje odpowiedź uwierzytelniania drugiego czynnika, co pozwala atakującemu znającemu hasło użytkownika na ominięcie wymogu uwierzytelniania dwuskładnikowego poprzez przesłanie zniekształconego żądania.

CVE-2026-11880
Niskie

Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.1 nie weryfikuje poprawnie własności przed przetworzeniem żądania anulowania subskrypcji, co pozwala uwierzytelnionym użytkownikom z niskimi uprawnieniami na anulowanie subskrypcji należących do innych użytkowników.

PoprzedniaStrona 64 z 4524Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS