Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w UltraVNC do wersji 1.8.2.2 powoduje odczyt poza zakresem w funkcji konwersji szerokich znaków na wielobajtowe. Funkcja vncWc2Mb() wywołuje wcslen() na buforze dostarczonym przez wywołującego bez wcześniejszego sprawdzenia granic, co może prowadzić do odczytu poza przydzieloną pamięcią.
UltraVNC do wersji 1.8.2.2 używa kryptograficznie słabego generatora liczb pseudolosowych do tworzenia bajtów wyzwania uwierzytelniania VNC. Funkcja vncRandomBytes() inicjuje libc rand() wartościami time(0) + getpid() + rand(), co daje przestrzeń seeda około 31 bitów, całkowicie determinowaną przez publicznie obserwowalne wartości (czas i PID). Atakujący może przewidzieć wyzwanie w ciągu sekund, co umożliwia fałszowanie lub brute-force odpowiedzi.
Wtyczka Event Organiser dla WordPressa jest podatna na przechowywany atak XSS we wszystkich wersjach do 3.12.9 włącznie. Podatność wynika z akceptowania przez shortcode 'eo_events' kontrolowanej przez atakującego treści 'no_events' i renderowania jej w szablonach list wydarzeń bez odpowiedniego escapingu wyjścia.
Wtyczka WPBot – AI ChatBot dla WordPress do wersji 8.4.9 włącznie zawiera podatność na przechowywany atak XSS przez parametr 'conversation'. Brak odpowiedniej sanitacji wejścia i eskejpowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonają się przy dostępie do zainfekowanej strony. Dodatkowo nonce AJAX wymagany do zapisu jest publicznie emitowany na każdej stronie frontendowej, co ułatwia eksploatację.
Wtyczka Visualizer – Tables & Charts Manager z wbudowanym generatorem AI dla WordPressa do wersji 4.0.3 włącznie zawiera podatność na pominięcie autoryzacji. Niezautoryzowani atakujący mogą uzyskać dostęp i eksportować zawartość dowolnego wykresu, w tym w statusach szkicu, prywatnym, oczekującym, przyszłym lub koszu, jako CSV, Excel lub HTML przez endpoint REST /wp-json/visualizer/v1/action/{chart}/{type}/.
Wtyczka Tutor LMS dla WordPressa do wersji 3.9.13 włącznie zawiera podatność na trwałe ataki XSS przez tytuł załącznika lekcji. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.
Wtyczka GiveWP dla WordPressa do 4.16.0 zawiera podatność na trwałe XSS przez atrybuty shortcode 'givewp_campaign_comments'. Atakujący z dostępem autora mogą wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie na zainfekowanej stronie.
Wtyczka Wp Google Places Review Slider dla WordPressa do wersji 18.1 zawiera odbitą podatność na Cross-Site Scripting (XSS) przez parametr 'place'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych w pliku admin/partials/googlecrawl_dfs.php pozwala nieuwierzytelnionym atakującym na wstrzyknięcie dowolnego skryptu, który wykona się po kliknięciu przez ofiarę spreparowanego linku.
Wtyczka Youtube Showcase dla WordPressa do wersji 4.0.3 włącznie zawiera podatność na dowolne wywołanie funkcji PHP. Problem wynika z niewystarczającej walidacji parametru 'path' w handlerze AJAX emd_delete_file(), co pozwala uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym na wywoływanie funkcji PHP bez argumentów, takich jak phpinfo czy phpversion.
Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Mechanizm autoryzacji sprawdza uprawnienia na podstawie identyfikatora posta (post_id) podanego przez użytkownika, ale operacje odczytu i usuwania rekordów analizy optymalizatora są wykonywane na podstawie skrótu ścieżki pliku (post_path), który może być dowolnie zmieniony przez atakującego. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora lub wyższym odczytywanie lub usuwanie rekordów analizy należących do postów innych użytkowników.
Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 włącznie nieprawidłowo weryfikuje uprawnienia użytkownika, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na tworzenie dowolnych załączników w bibliotece multimediów. Atakujący może zdalnie pobrać obrazy do katalogu uploads, omijając ograniczenia związane z uprawnieniem upload_files.
Wtyczka FV Flowplayer Video Player dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'align' w shortcode'u 'video_player' we wszystkich wersjach do 7.5.51.7212 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla atrybutów dostarczanych przez użytkownika.
Wtyczka JoomSport dla WordPressa do wersji 5.7.8 włącznie zawiera lukę braku autoryzacji w funkcji AJAX joomsport_season_groupdel(). Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym usunięcie dowolnych grup JoomSport bez wymaganej kontroli uprawnień.
Wtyczka WPForms dla WordPressa do wersji 1.10.2 włącznie jest podatna na wstrzykiwanie nagłówków e-mail przez CRLF Injection. Błąd wynika z nieprawidłowego przetwarzania nazwy wyświetlanej Reply-To, co pozwala nieuwierzytelnionym atakującym na dodanie dowolnych nagłówków, takich jak Bcc, do wychodzących wiadomości powiadomień.
Wtyczka Appointment Booking Calendar dla WordPressa do wersji 1.4.02 włącznie ujawnia wrażliwe dane poprzez parametr cpabc_appointments_filter_list. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wyodrębnienie danych osobowych klientów, takich jak imiona, adresy e-mail, numery telefonów, komentarze do rezerwacji i inne informacje umożliwiające identyfikację.
Wtyczka Taskbuilder dla WordPressa do wersji 5.0.8 zawiera podatność na wstrzykiwanie SQL przez parametr 'task_search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia uwierzytelnionym atakującym (od poziomu subskrybenta) dołączanie dodatkowych zapytań SQL.
Wtyczka Taskbuilder dla WordPressa jest podatna na ogólną iniekcję SQL przez parametr 'wppm_proj_filter' w wersjach do 5.0.8 włącznie. Brak odpowiedniego escapowania i przygotowania zapytania SQL umożliwia uwierzytelnionym atakującym (od poziomu subskrybenta) dołączanie dodatkowych zapytań SQL, co pozwala na wyodrębnienie wrażliwych danych z bazy.
Wtyczka LearnPress dla WordPressa do wersji 4.3.9.1 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) poprzez parametr 'userId'. Uwierzytelniony atakujący z dostępem na poziomie subskrybenta lub wyższym może odczytać dane o postępach i ukończeniu kursów należące do instruktorów i administratorów.
Wtyczka GiveWP dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.15.3 włącznie. Podatność wynika z braku walidacji tokena nonce w funkcji give_set_notification_status_handler(), co pozwala nieuwierzytelnionym atakującym na wyłączenie powiadomień e-mail o darowiznach poprzez sfałszowane żądanie.
Wtyczka JetWidgets For Elementor dla WordPressa do wersji 1.0.21 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS). Podatność wynika z niedostatecznego kodowania wyjścia i braku walidacji po stronie serwera ustawienia animation_effect w widżecie Animated Box, które jest renderowane w atrybucie klasy HTML. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas odwiedzenia zainfekowanej strony.

