Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka Devs Accounting – Simple Accounting and Invoicing Solution dla WordPress jest podatna na brak autoryzacji we wszystkich wersjach do i włącznie z 1.2.0. Problem wynika z tego, że wywołanie API get_single_account() jest zarejestrowane z callbackiem, który zawsze zwraca prawdę, co skutkuje brakiem kontroli autoryzacji na końcówce /devs-accounting/v1/get-account/<id>.
Wtyczka Devs Accounting dla WordPressa do wersji 1.2.0 zawiera lukę umożliwiającą nieautoryzowane usuwanie danych. Brak kontroli uprawnień w funkcji delete_single_account() oraz brak parametru permission_callback w rejestracji trasy REST powodują, że nieuwierzytelniony atakujący może usunąć dowolne rekordy kont księgowych za pomocą prostego żądania GET.
Wtyczka Osiris Signature Banner dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji.
Wtyczka MIR blocks and shortcodes dla WordPressa jest podatna na przechowywane ataki XSS przez atrybut 'title' oraz inne atrybuty (np. 'ready_animation_text') shortcodu 'msc_stats' w wersjach do 1.0.0 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia w funkcji renderującej msc_stats().
Wtyczka Avalon23 Products Filter dla WooCommerce w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'avalon23_qr' w wersjach do 1.1.6. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybutach shortcode dostarczonych przez użytkownika.
Wtyczka RentMy Real-Time Rental Management dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.0.4.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Wtyczka Advance Nav Menu Manager dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 1.3. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Wtyczka EntreDroppers dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr PHP_SELF we wszystkich wersjach do i włącznie z 1.1.2 z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący może wstrzyknąć dowolne skrypty webowe, jeśli uda mu się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka Image Sizes on Demand dla WordPressa do wersji 1.3 włącznie jest podatna na odbite ataki Cross-Site Scripting (XSS) poprzez zmienną serwera PHP_SELF. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Wtyczka SearchPlus dla WordPressa jest podatna na nieautoryzowaną modyfikację i usunięcie danych w wersjach do 1.7.1 włącznie. Problem wynika z braku weryfikacji uprawnień oraz braku walidacji nonce w funkcjach searchplus_save_token_action_callback() i searchplus_reset_token_action_callback().
Wtyczka Assistio dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku weryfikacji uprawnień oraz braku weryfikacji nonce w funkcji assistio_plugin_delete_assistio_settings() w wersjach do 1.1.2 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, usunięcie opcji wtyczki, w tym krytycznej opcji 'assistiobot_oauth_settings'.
Wtyczka Secufor_OAuth dla WordPressa jest podatna na nieautoryzowany dostęp we wszystkich wersjach do i włącznie z 1.0.7. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Wtyczka MP Customize Login Page dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.0 włącznie. Problem wynika z błędnej walidacji nonce w funkcji enter_mpclp_login_options(), co pozwala na modyfikację ustawień wtyczki przez nieautoryzowanych atakujących.
Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.
Wtyczka Bulk SEO Image dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie ustawień wtyczki, co pozwala na masowe nadpisywanie metadanych ALT obrazów przez nieautoryzowanych atakujących.
Wtyczka WP Meta SEO dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 4.5.18 włącznie, poprzez parametr 'new_link'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wysyłanie żądań HTTP do dowolnych lokalizacji z poziomu aplikacji, co może być wykorzystane do odpytywania i modyfikowania informacji z wewnętrznych usług.
Wtyczka Blue Captcha dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 2.0.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w głównym panelu administracyjnym oraz na podstronach, co pozwala na wykonywanie destrukcyjnych operacji przez nieautoryzowanych atakujących.
Wtyczka AI Share & Summarize dla WordPressa przed wersją 2.0.4 nie oczyszcza i nie koduje niektórych atrybutów shortcode'ów przed wyświetleniem ich na stronie, co umożliwia użytkownikom z rolą Współautora i wyższym przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS).
W bibliotece libslirp przed wersją v4.9.2 występuje podatność związana z odczytem pamięci poza zakresem oraz niedoborem całkowitym w obsłudze danych pilnych TCP. Atakujący z uprawnieniami gościa VM może wyciekować wrażliwe dane z pamięci hosta.
W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.

