Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka WordPress More Fields w wersji 2.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez wyłączenie walidacji tokenów CSRF.
Wtyczka WordPress Abtest zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na dołączenie dowolnych plików poprzez manipulację parametrem akcji. Atakujący mogą wysyłać żądania GET do abtest_admin.php z złośliwymi wartościami akcji, aby dołączyć pliki z katalogu administracyjnego i wykonać dowolny kod.
Wtyczka Brandfolder dla WordPressa w wersji 3.0 i wcześniejszych zawiera podatność na lokalne włączenie pliku w pliku callback.php, co pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem wp_abspath.
WordPress Dharma Booking w wersji 2.28.3 i wcześniejszych zawiera podatność na lokalne włączenie plików, która pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem gateway. Atakujący mogą dostarczyć ścieżki plików z sekwencjami przechodzenia przez katalogi lub wstrzyknięciem bajtu null do parametru gateway w pliku proccess.php, aby odczytać wrażliwe pliki, takie jak pliki konfiguracyjne i systemowe.
Wtyczka WordPress IMDb Profile Widget w wersji 1.0.8 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez manipulację parametrem url. Atakujący mogą wykorzystać sekwencje przejścia katalogu w żądaniach GET do pic.php, aby uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, zawierających dane uwierzytelniające do bazy danych oraz dane konfiguracyjne.
Wtyczka WordPress Photocart Link w wersji 1.6 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niewystarczającej walidacji danych wejściowych w pliku decode.php.
Wtyczka WordPress Lazy Content Slider w wersji 3.4 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez tworzenie złośliwych formularzy HTML.
Wtyczka WordPress Booking Calendar Contact Form w wersji 1.0.23 zawiera luki związane z eskalacją uprawnień oraz przechowywanym skryptowaniem międzywitrynowym (XSS), które pozwalają uwierzytelnionym użytkownikom na modyfikację opcji wtyczki oraz wstrzykiwanie złośliwych skryptów.
WordPress CP Polls w wersji 1.0.8 zawiera podatność na atak typu cross-site request forgery, która pozwala atakującym na wykonywanie nieautoryzowanych działań w imieniu uwierzytelnionych użytkowników. Atakujący mogą stworzyć złośliwe strony HTML, które wykonują niepożądane operacje na ankietach, gdy administratorzy odwiedzają tę stronę będąc zalogowanymi.
Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 nieprawidłowo waliduje kod oddziału podczas jego tworzenia. Umożliwia to atakującemu z odpowiednimi uprawnieniami wprowadzenie sekwencji przejścia ścieżki, co może prowadzić do niezamierzonego przechowywania plików.
Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 zawiera twardo zakodowany klucz kryptograficzny w komponencie SafeSystem.Infrastructure.Security.dll. Atakujący z dostępem do plików aplikacji może przeprowadzić inżynierię wsteczną DLL i odzyskać ten klucz.
Oprogramowanie Wertheim SafeController w wersji AssemblyVersion 6.15.8328.28014 ujawnia ścieżki plików dostępne przez sieć, które nie są chronione przez mechanizm autoryzacji. Nieautoryzowany atakujący może bezpośrednio uzyskać dostęp do punktów końcowych HTTP, aby pobrać pliki z lokalizacji takich jak /Resources/CompanyId_[ID]/Audio/ oraz /SafeData/.
Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera niewystarczającą walidację typu pliku po stronie serwera w punkcie końcowym /safe/contract/uploadcustomdocuments. Aplikacja akceptuje przesyłane pliki na podstawie wartości HTTP Content-Type kontrolowanej przez użytkownika, co pozwala na przesyłanie dowolnych treści plików przez uwierzytelnionego atakującego.
Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera lukę umożliwiającą obejście ograniczeń IP w procesie logowania. Atakujący z ważnymi danymi logowania użytkownika może manipulować nagłówkiem X-Forwarded-For, aby sfałszować adres IP oddziału i uzyskać dostęp do sesji autoryzowanej z nieautoryzowanej lokalizacji sieciowej.
W Ansible Lightspeed znaleziono lukę związaną z niewystarczającym wygasaniem sesji, co pozwala zdalnemu atakującemu na utrzymanie trwałego dostępu do instancji Ansible Lightspeed. Atakujący, który wykradnie ważny token dostępu OAuth przed wylogowaniem użytkownika, może kontynuować autoryzację i uzyskiwać dostęp do wrażliwych danych.
Wtyczka Form Builder CP dla WordPressa przed wersją 1.2.47 nieprawidłowo sanitizuje wartość konfiguracji formularza przed jej zapisaniem, co umożliwia ataki typu Stored Cross-Site Scripting przez uwierzytelnionych użytkowników z dostępem na poziomie Edytora i wyżej.
Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie filtruje stanu zatwierdzenia na publicznym punkcie końcowym REST dla pojedynczych znaczników, co pozwala nieautoryzowanym użytkownikom na dostęp do rekordów znaczników, które nie zostały jeszcze zatwierdzone przez administratora.
Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie egzekwuje poprawnie filtru zatwierdzania znaczników w administracyjnym zapytaniu AJAX dla trasy datatables, co pozwala nieautoryzowanym odwiedzającym na dostęp do rekordów znaczników, które właściciel strony nie zatwierdził do publicznego wyświetlania.
W telefonie Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń w funkcji mod_webd.TFTPUploadIperf pliku /api/inner/tftpuploadiperf. Atak wymaga dostępu do sieci lokalnej i może zostać przeprowadzony poprzez manipulację argumentami ip/port. Producent udostępnił poprawkę w wersji 108.87.0.23, która nie jest jeszcze publicznie dostępna.
W oprogramowaniu telefonu Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji mod_diagnose.CommandShellByType w pliku /api/diagnosis/start komponentu Web FastCGI Service, gdzie argument Time jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

