CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-52766
Medium

W Printeers Print & Ship występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.17.0.

CVE-2026-9730
Medium

Wtyczka Remove NoFollow Commenter URL dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji gmz_comment_settings_save.

CVE-2026-9723
Medium

Wtyczka Google Plus One Bottom dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji googlePlusOneAdmin.

CVE-2026-9722
Medium

Wtyczka Laiser Tag dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.2.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji addOptionsPageFields.

CVE-2026-9599
Medium

Wtyczka Tectite Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.3. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji admin_init.

CVE-2026-9234
Medium

Wtyczka JTL-Connector dla WooCommerce w WordPressie jest podatna na brak autoryzacji w wersjach do 2.4.1 włącznie. Problem wynika z braku sprawdzania uprawnień i weryfikacji nonce w akcjach admin_post_settings_save_woo-jtl-connector oraz wp_ajax_downloadJTLLogs i wp_ajax_clearJTLLogs.

CVE-2026-8885
Medium

Wtyczka DeMomentSomTres Shortcodes dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'callout' we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów 'width' i 'align' w funkcji st_callout().

CVE-2026-8422
Medium

Wtyczka Remove meta boxes per user role dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.01. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie 'remove-meta-boxes-per-user-role'.

CVE-2026-4081
Medium

Wtyczka ZeM STL dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) za pomocą shortcode'a [zemstl] we wszystkich wersjach do i włącznie z 1.0. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów shortcode'a dostarczanych przez użytkowników, takich jak 'url', 'color' i 'bgcolor'.

CVE-2026-4080
Medium

Wtyczka Easy Cart dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'add_to_cart' we wszystkich wersjach do i włącznie z 1.8. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.

CVE-2026-4071
Medium

Wtyczka BirdSeed dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do łącznie 2.2.0. Problem wynika z braku walidacji nonce w funkcji birdseed_plugin_settings_page(), co pozwala na zmianę ustawienia tokena BirdSeed przez nieautoryzowanych atakujących.

CVE-2026-3620
Medium

Wtyczka Word Replacer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'replacement' we wszystkich wersjach do i włącznie z 0.4. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych.

CVE-2026-2425
Medium

Wtyczka hiWeb Migration Simple dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'new_domain' we wszystkich wersjach do i włącznie z 2.0.0.1, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach.

CVE-2026-2382
Medium

Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-1451
Medium

Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2026-1450
Medium

Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'mode' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2025-5085
Medium

Wtyczka WP Nano AD dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'blogrole_link' we wszystkich wersjach do 1.31 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-3198
Medium

MLflow w wersji 3.9.0 z podstawową autoryzacją nie egzekwuje kontroli dostępu dla wielu punktów końcowych API Gateway 'list'. Słownik `BEFORE_REQUEST_HANDLERS` nie zawiera wpisów dla `ListGatewaySecretInfos`, `ListGatewayEndpoints` i `ListGatewayModelDefinitions`, co pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich sekretów, punktów końcowych i definicji modeli.

CVE-2026-10583
Medium

Wykryto podatność bezpieczeństwa w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji Import w pliku internal/http/tts_config.go komponentu TTS Configuration Endpoint, co prowadzi do oszustwa żądań po stronie serwera.

CVE-2026-10581
Medium

W DedeCMS w wersji 5.7.88 odkryto lukę, która dotyczy funkcji base64_decode w pliku /plus/download.php?open=1. Manipulacja argumentem Link prowadzi do ataku typu server-side request forgery (SSRF).

PreviousPage 186 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS