CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
Podatność CVE-2026-28116 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji Emilia Projects Progress Planner, co pozwala na ataki typu Stored XSS. Problem ten dotyczy wersji Progress Planner od n/a do 1.9.0.
W systemie Crew HRM występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.2.2.
A vulnerability in Dräger Infinity Delta, Delta XL, and Kappa patient monitors allows unauthenticated network attackers to access log files. Attackers can retrieve device internals, location information, and wired network configuration details.
Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.
Wtyczka Tiled Gallery Carousel Without JetPack dla WordPressa jest podatna na przechowywane ataki typu cross-site scripting (XSS) poprzez parametr 'data-image-title' we wszystkich wersjach do 3.1 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
W podatności 'Unsafe Reflection' w Apache Calcite, zewnętrznie kontrolowane dane wejściowe mogą być użyte do wyboru klas lub kodu. Problem ten dotyczy wersji Apache Calcite od 1.5.0 do przed 1.42.
Zidentyfikowano podatność na niewłaściwą autoryzację w Apache Kafka. Implementacja API CONSUMER_GROUP_DESCRIBE (69) weryfikuje operację DESCRIBE na zasobie GROUP zamiast operacji READ, co może prowadzić do błędnej konfiguracji list kontroli dostępu (ACL) i niezamierzonych postaw bezpieczeństwa.
Wirtualna Uczelnia jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) z powodu niebezpiecznego przetwarzania parametru locale w wielu punktach końcowych. Atakujący może stworzyć złośliwy link z osadzonym JavaScriptem w parametrze locale i wysłać go do ofiary.
W podatności CVE-2026-10549 występuje luka w filtrze LDAP w bazie danych Yandex przed wersją 25.3.1.25, która pozwala zdalnemu atakującemu z ważnymi poświadczeniami LDAP na ominięcie kontroli członkostwa w grupach, co prowadzi do nieautoryzowanego dostępu do bazy danych.
W ThimPress Thim Core występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Thim Core od n/a do 2.3.3.
W podatności CVE-2025-53302 w Anton Shevchuk Constructor brakuje odpowiednich mechanizmów autoryzacji, co pozwala na dostęp do funkcji, które nie są właściwie ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji Constructor od n/a do 1.6.5.
W Printeers Print & Ship występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.17.0.
Wtyczka Remove NoFollow Commenter URL dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji gmz_comment_settings_save.
Wtyczka Google Plus One Bottom dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 0.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji googlePlusOneAdmin.
Wtyczka Laiser Tag dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.2.5. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji addOptionsPageFields.
Wtyczka Tectite Forms dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.3. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji admin_init.
Wtyczka JTL-Connector dla WooCommerce w WordPressie jest podatna na brak autoryzacji w wersjach do 2.4.1 włącznie. Problem wynika z braku sprawdzania uprawnień i weryfikacji nonce w akcjach admin_post_settings_save_woo-jtl-connector oraz wp_ajax_downloadJTLLogs i wp_ajax_clearJTLLogs.
Wtyczka DeMomentSomTres Shortcodes dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'callout' we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów 'width' i 'align' w funkcji st_callout().
Wtyczka Remove meta boxes per user role dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.01. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie 'remove-meta-boxes-per-user-role'.
Wtyczka ZeM STL dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) za pomocą shortcode'a [zemstl] we wszystkich wersjach do i włącznie z 1.0. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia dla atrybutów shortcode'a dostarczanych przez użytkowników, takich jak 'url', 'color' i 'bgcolor'.

