Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-57349
Wysokie

Wtyczka WPeMatico RSS Feed Fetcher w wersjach do 2.8.17 zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57348
Wysokie

Wtyczka Paid Member Subscriptions w wersji 3.0.4 i starszych zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) bez wymaganego uwierzytelnienia. Atakujący może wysłać spreparowane żądanie HTTP, które zostanie wykonane przez serwer, umożliwiając dostęp do wewnętrznych zasobów sieciowych.

CVE-2026-57345
Wysokie

Wtyczka Internal Links Manager w wersji 3.0.3 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary.

CVE-2026-57344
Wysokie

Wtyczka Classified Listing dla WordPressa w wersji 5.4.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Oznacza to, że atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-57343
Wysokie

Wtyczka Real Estate 7 w wersji 3.5.9 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-56037
Wysokie

Wtyczka Themify Popup dla WordPressa zawiera podatność na deserializację niezaufanych danych, umożliwiającą wstrzyknięcie obiektu. Luka występuje we wszystkich wersjach do 1.4.3 włącznie.

CVE-2026-42382
Wysokie

Wtyczka Audrey w wersji 1.5 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez konieczności logowania.

CVE-2026-39448
Wysokie

Wtyczka NOWPayments for WooCommerce w wersji 1.4.0 i starszych zawiera lukę w zabezpieczeniach polegającą na nieuwierzytelnionym, złamanym dostępie (Broken Access Control). Osoba atakująca bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do funkcji lub danych.

CVE-2026-27430
Wysokie

Wtyczka TheFox w wersjach do 3.9.76 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27426
Wysokie

Wtyczka Automotive Car Dealership Business w wersjach do 13.3.3 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27425
Wysokie

Wtyczka Automotive Listings w wersji 18.6 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27414
Wysokie

Wtyczka Werkstatt dla WordPressa w wersji 4.8.3 i starszych zawiera podatność na wstrzykiwanie obiektów PHP (PHP Object Injection) przez mechanizm contributor. Umożliwia to atakującemu przesłanie złośliwych danych, które mogą prowadzić do zdalnego wykonania kodu.

CVE-2026-27412
Wysokie

Wtyczka Pearl - Corporate Business w wersji 3.4.10 i starszych zawiera podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Atakujący może zdalnie odczytać dowolne pliki na serwerze bez wymagania uwierzytelnienia.

CVE-2026-27408
Wysokie

Wtyczka NativeChurch w wersjach do 4.8.8.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27404
Wysokie

W systemie LMS w wersji 9.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-27402
Wysokie

Wtyczka Kids Life | Children School dla WordPress w wersji 5.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-27060
Wysokie

Wtyczka ARMember Premium w wersji 7.0 i starszych zawiera podatność na wstrzykiwanie obiektów PHP przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwy obiekt PHP, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-11946
Wysokie

Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę GetEndpoints Discovery Service w bibliotece open62541. Pole endpointUrl w żądaniu GetEndpointsRequest nie jest walidowane pod kątem długości, co pozwala na zadeklarowanie dowolnie dużego ciągu znaków (do ~4,09 GB) dostarczanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bez ograniczeń aż do czasu wygaśnięcia SecureChannel.

CVE-2025-69156
Wysokie

W motywie WordPress Kids Zone - Children w wersji 5.4 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69155
Wysokie

W motywie WordPress Fitness Zone w wersji 5.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

PoprzedniaStrona 11 z 3309Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS