Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w kompilatorze shaderów GPU pozwala na zapis poza dozwolonym obszarem pamięci poprzez załadowanie strony internetowej zawierającej specjalnie spreparowany kod shadera. W pewnych warunkach może to prowadzić do awarii (segmentation fault) kompilatora.
Podatność Broken Access Control w komponencie devLXDInstancePatchHandler oprogramowania Canonical LXD umożliwia niezaufanemu gościowi zamontowanie, odczytanie i nadpisanie niestandardowego woluminu pamięci masowej innego gościa za pomocą spreparowanego żądania PATCH do /dev/lxd, gdy włączona jest opcja security.devlxd.management.volumes.
Sterownik jądra ProcessMonitorDriver.sys w kliencie endpoint Safetica dla systemów x64 w wersjach 10.5.75.0 i 11.11.4.0 umożliwia nieuprzywilejowanemu użytkownikowi nadużycie ścieżki IOCTL i zakończenie chronionych procesów systemowych.
Wtyczka Groundhogg dla WordPress w wersji 4.5 i starszych zawiera podatność na wstrzykiwanie SQL w module przedstawiciela handlowego. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.
Wtyczka Recipe Maker For Your Food Blog od Zip Recipes w wersji 8.2.7 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórcę (Contributor SQL Injection).
Podatność na wstrzykiwanie SQL w komponencie Contributor wtyczki Contest Gallery w wersjach do 30.0.0. Umożliwia atakującemu manipulację zapytaniami do bazy danych poprzez nieprawidłowo zabezpieczone dane wejściowe.
Wtyczka Paid Memberships Pro - Add Member From Admin w wersji 0.7.2 i starszych jest podatna na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście administratora, bez konieczności posiadania sesji uwierzytelniającej.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie fałszywego żądania międzywitrynowego (CSRF) we wtyczce Child Theme Wizard w wersji 1.4 i niższych. Atak może prowadzić do nieautoryzowanych zmian w konfiguracji wtyczki bez wiedzy administratora.
Wtyczka WP Job Portal w wersji 2.5.2 i starszych zawiera podatność na wstrzykiwanie SQL w module Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Wtyczka Panorama Viewer – 360 Degree Image + Video Viewer w wersji 1.6.1 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.
Podatność wtyczki Newsletters w wersjach do 4.13 umożliwia nieautoryzowany dostęp do funkcji zarządzania subskrybentami. Brak odpowiedniej kontroli dostępu pozwala atakującemu na manipulację danymi subskrybentów bez wymaganych uprawnień.
Wtyczka Restaurant Menu by MotoPress w wersji 2.4.10 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórcę. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwe zapytania SQL do bazy danych.
Wtyczka WP Post Author w wersji 3.9.1 i starszych zawiera podatność na wstrzykiwanie SQL w funkcji Contributor. Umożliwia to atakującemu manipulację zapytaniami do bazy danych.
Wtyczka Gallery dla WordPressa w wersji 4.7.8 i starszych zawiera podatność na wstrzykiwanie SQL w funkcji Contributor. Umożliwia to atakującemu z uprawnieniami współautora wykonanie nieautoryzowanych zapytań do bazy danych.
Wtyczka wpForo Forum w wersji 3.0.9 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Podatność typu SQL Injection w komponencie Popup box w wersjach do 6.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL. Atakujący z uprawnieniami administratora może manipulować zapytaniami do bazy danych.
Podatność SQL Injection wtyczki WP All Import w wersjach do 4.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL do bazy danych.
Dodatek ViewState dla Zed Attack Proxy (ZAP) przed wersją 4 zawiera podatność na niezabezpieczoną deserializację, która umożliwia atakującym kontrolującym serwer proxy osiągnięcie zdalnego wykonania kodu poprzez osadzenie złośliwego, serializowanego obiektu Java w parametrze odpowiedzi HTTP javax.faces.ViewState. Metoda JSFViewState.decode() dekoduje wartość ViewState z base64 i przekazuje ją bezpośrednio do ObjectInputStream.readObject() bez filtra deserializacji, listy dozwolonych typów ani ograniczeń, co powoduje deserializację złośliwego obiektu w JVM ZAP podczas renderowania panelu ViewState w interfejsie Desktop UI.
Podatność umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego skryptu (XSS) w aplikacji NanoMag w wersji 1.8 i starszych. Atak może zostać przeprowadzony bez konieczności logowania, co zwiększa ryzyko dla użytkowników.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS wtyczki weMail w wersjach do 2.1.2 włącznie.

