Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-9175
Średnie

Wtyczka Devs Accounting – Simple Accounting and Invoicing Solution dla WordPress jest podatna na brak autoryzacji we wszystkich wersjach do i włącznie z 1.2.0. Problem wynika z tego, że wywołanie API get_single_account() jest zarejestrowane z callbackiem, który zawsze zwraca prawdę, co skutkuje brakiem kontroli autoryzacji na końcówce /devs-accounting/v1/get-account/<id>.

CVE-2026-9172
Średnie

Wtyczka Devs Accounting dla WordPressa do wersji 1.2.0 zawiera lukę umożliwiającą nieautoryzowane usuwanie danych. Brak kontroli uprawnień w funkcji delete_single_account() oraz brak parametru permission_callback w rejestracji trasy REST powodują, że nieuwierzytelniony atakujący może usunąć dowolne rekordy kont księgowych za pomocą prostego żądania GET.

CVE-2026-8905
Średnie

Wtyczka Osiris Signature Banner dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji.

CVE-2026-8896
Średnie

Wtyczka MIR blocks and shortcodes dla WordPressa jest podatna na przechowywane ataki XSS przez atrybut 'title' oraz inne atrybuty (np. 'ready_animation_text') shortcodu 'msc_stats' w wersjach do 1.0.0 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia w funkcji renderującej msc_stats().

CVE-2026-8865
Średnie

Wtyczka Avalon23 Products Filter dla WooCommerce w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'avalon23_qr' w wersjach do 1.1.6. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybutach shortcode dostarczonych przez użytkownika.

CVE-2026-8690
Średnie

Wtyczka RentMy Real-Time Rental Management dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.0.4.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

CVE-2026-8688
Średnie

Wtyczka Advance Nav Menu Manager dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 1.3. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

CVE-2026-8628
Średnie

Wtyczka EntreDroppers dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr PHP_SELF we wszystkich wersjach do i włącznie z 1.1.2 z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący może wstrzyknąć dowolne skrypty webowe, jeśli uda mu się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2026-8622
Średnie

Wtyczka Image Sizes on Demand dla WordPressa do wersji 1.3 włącznie jest podatna na odbite ataki Cross-Site Scripting (XSS) poprzez zmienną serwera PHP_SELF. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-8617
Średnie

Wtyczka SearchPlus dla WordPressa jest podatna na nieautoryzowaną modyfikację i usunięcie danych w wersjach do 1.7.1 włącznie. Problem wynika z braku weryfikacji uprawnień oraz braku walidacji nonce w funkcjach searchplus_save_token_action_callback() i searchplus_reset_token_action_callback().

CVE-2026-8614
Średnie

Wtyczka Assistio dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku weryfikacji uprawnień oraz braku weryfikacji nonce w funkcji assistio_plugin_delete_assistio_settings() w wersjach do 1.1.2 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, usunięcie opcji wtyczki, w tym krytycznej opcji 'assistiobot_oauth_settings'.

CVE-2026-7617
Średnie

Wtyczka Secufor_OAuth dla WordPressa jest podatna na nieautoryzowany dostęp we wszystkich wersjach do i włącznie z 1.0.7. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

CVE-2026-6292
Średnie

Wtyczka MP Customize Login Page dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.0 włącznie. Problem wynika z błędnej walidacji nonce w funkcji enter_mpclp_login_options(), co pozwala na modyfikację ustawień wtyczki przez nieautoryzowanych atakujących.

CVE-2026-12094
Średnie

Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.

CVE-2026-11997
Średnie

Wtyczka Bulk SEO Image dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie ustawień wtyczki, co pozwala na masowe nadpisywanie metadanych ALT obrazów przez nieautoryzowanych atakujących.

CVE-2026-11370
Średnie

Wtyczka WP Meta SEO dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 4.5.18 włącznie, poprzez parametr 'new_link'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wysyłanie żądań HTTP do dowolnych lokalizacji z poziomu aplikacji, co może być wykorzystane do odpytywania i modyfikowania informacji z wewnętrznych usług.

CVE-2026-10552
Średnie

Wtyczka Blue Captcha dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 2.0.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w głównym panelu administracyjnym oraz na podstronach, co pozwala na wykonywanie destrukcyjnych operacji przez nieautoryzowanych atakujących.

CVE-2026-10531
Średnie

Wtyczka AI Share & Summarize dla WordPressa przed wersją 2.0.4 nie oczyszcza i nie koduje niektórych atrybutów shortcode'ów przed wyświetleniem ich na stronie, co umożliwia użytkownikom z rolą Współautora i wyższym przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS).

CVE-2026-9539
Średnie

W bibliotece libslirp przed wersją v4.9.2 występuje podatność związana z odczytem pamięci poza zakresem oraz niedoborem całkowitym w obsłudze danych pilnych TCP. Atakujący z uprawnieniami gościa VM może wyciekować wrażliwe dane z pamięci hosta.

CVE-2026-12488
Średnie

W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.

PoprzedniaStrona 82 z 552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS