CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
W Printeers Print & Ship występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.17.0.
Wtyczka Remove NoFollow Commenter URL dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji gmz_comment_settings_save.
Wtyczka Google Plus One Bottom dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji googlePlusOneAdmin.
Wtyczka Laiser Tag dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.2.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji addOptionsPageFields.
Wtyczka Tectite Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.3. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji admin_init.
Wtyczka JTL-Connector dla WooCommerce w WordPressie jest podatna na brak autoryzacji w wersjach do 2.4.1 włącznie. Problem wynika z braku sprawdzania uprawnień i weryfikacji nonce w akcjach admin_post_settings_save_woo-jtl-connector oraz wp_ajax_downloadJTLLogs i wp_ajax_clearJTLLogs.
Wtyczka DeMomentSomTres Shortcodes dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'callout' we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów 'width' i 'align' w funkcji st_callout().
Wtyczka Remove meta boxes per user role dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.01. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie 'remove-meta-boxes-per-user-role'.
Wtyczka ZeM STL dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) za pomocą shortcode'a [zemstl] we wszystkich wersjach do i włącznie z 1.0. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów shortcode'a dostarczanych przez użytkowników, takich jak 'url', 'color' i 'bgcolor'.
Wtyczka Easy Cart dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'add_to_cart' we wszystkich wersjach do i włącznie z 1.8. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.
Wtyczka BirdSeed dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do łącznie 2.2.0. Problem wynika z braku walidacji nonce w funkcji birdseed_plugin_settings_page(), co pozwala na zmianę ustawienia tokena BirdSeed przez nieautoryzowanych atakujących.
Wtyczka Word Replacer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'replacement' we wszystkich wersjach do i włącznie z 0.4. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych.
Wtyczka hiWeb Migration Simple dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'new_domain' we wszystkich wersjach do i włącznie z 2.0.0.1, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach.
Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'mode' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka WP Nano AD dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'blogrole_link' we wszystkich wersjach do 1.31 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
MLflow w wersji 3.9.0 z podstawową autoryzacją nie egzekwuje kontroli dostępu dla wielu punktów końcowych API Gateway 'list'. Słownik `BEFORE_REQUEST_HANDLERS` nie zawiera wpisów dla `ListGatewaySecretInfos`, `ListGatewayEndpoints` i `ListGatewayModelDefinitions`, co pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich sekretów, punktów końcowych i definicji modeli.
Wykryto podatność bezpieczeństwa w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji Import w pliku internal/http/tts_config.go komponentu TTS Configuration Endpoint, co prowadzi do oszustwa żądań po stronie serwera.
W DedeCMS w wersji 5.7.88 odkryto lukę, która dotyczy funkcji base64_decode w pliku /plus/download.php?open=1. Manipulacja argumentem Link prowadzi do ataku typu server-side request forgery (SSRF).

