Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-8892
Średnie

Wtyczka CM Business Directory dla WordPressa do wersji 1.5.7 zawiera podatność na trwałe ataki XSS przez pola meta adresu firmy. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-8489
Średnie

Wtyczka Ultimate Member dla WordPressa zawiera podatność na przechowywany atak XSS poprzez parametr 'about_me' w wersjach do 2.11.4 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-14352
Wysokie

Wtyczka AR for WooCommerce dla WordPressa w wersjach do 8.40 zawiera podatność na Directory Traversal przez parametr 'file'. Nieuwierzytelnieni atakujący mogą odczytać dowolne pliki na serwerze, w tym poufne dane, ponieważ trzy mechanizmy kontroli dostępu są nieskuteczne: nonce są generowane bez uwierzytelnienia, klucz szyfrowania AES-256-CBC jest przewidywalny (pochodzi z opcji 'ar_licence_key', która domyślnie zwraca false), a sprawdzanie nagłówka Referer można łatwo ominąć.

CVE-2026-13040
Wysokie

Wtyczka NEX-Forms dla WordPressa w wersjach do 9.2.2 zawiera podatność na przechowywany atak XSS przez parametr 'real_val__'. Brak odpowiedniej sanitacji wejścia i eskejpowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnego skryptu, który wykona się przy dostępie do zainfekowanej strony.

CVE-2026-12557
Średnie

Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.29 włącznie zawiera podatność polegającą na pominięciu autoryzacji. Nieuwierzytelnieni atakujący mogą odczytać wszystkie wpisy dziennika debugowania przechowywane w tabeli wp_nf3_log lub trwale usunąć wszystkie wiersze z tej tabeli.

CVE-2026-11397
Średnie

Wtyczka WP Import Export Lite dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 3.9.30 włącznie. Podatność występuje w akcji AJAX wpie_import_upload_file_from_url, gdzie po nieudanym wywołaniu wp_safe_remote_get() (które blokuje prywatne adresy IP) następuje wywołanie GuzzleHttp\Client::request() bez ochrony SSRF i z wyłączoną weryfikacją TLS. Umożliwia to uwierzytelnionym atakującym z dostępem administratora wysyłanie żądań do dowolnych lokalizacji, w tym do wewnętrznych usług, takich jak endpoint metadanych chmury.

CVE-2026-8921
Wysokie

Podatność w ASUS Business Manager umożliwia lokalnemu użytkownikowi wykonanie dowolnego kodu z uprawnieniami SYSTEM poprzez manipulację komunikatem IPC. Problem wynika z zewnętrznej kontroli nazwy pliku lub ścieżki.

CVE-2026-12960
Średnie

Podatność w aplikacji ASUS Router na Androida pozwala złośliwej aplikacji na tym samym urządzeniu na wysłanie spreparowanego Intentu, który otwiera dowolny adres URL w kontekście aplikacji ASUS Router. Jest to spowodowane nieprawidłowym eksportem komponentów aplikacji.

CVE-2022-4990
Wysokie

Sterownik ASUS AI Suite 3 zawiera lukę polegającą na nieprawidłowej walidacji określonej ilości w danych wejściowych, co umożliwia lokalnemu użytkownikowi ominięcie zabezpieczeń i dostęp do ograniczonych bloków pamięci poprzez spreparowane żądania IOCTL, prowadząc do eskalacji uprawnień.

CVE-2022-4989
Wysokie

W sterowniku ASUS AI Suite 3 stwierdzono brak odpowiedniej walidacji określonej ilości w danych wejściowych, co umożliwia lokalnemu użytkownikowi dostęp do nieprzeznaczonych obszarów pamięci poprzez spreparowane żądania IOCTL. Podatność ta prowadzi do eskalacji uprawnień w systemie.

CVE-2026-14327
Wysokie

Wtyczka AR for WordPress do wersji 8.40 włącznie jest podatna na Directory Traversal przez parametr 'file'. Niezautoryzowany atakujący może odczytać dowolne pliki na serwerze, uzyskując poufne informacje.

CVE-2026-12920
Średnie

Wtyczka Cookie Banner for GDPR / CCPA – WPLP Cookie Consent dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 4.3.5 włącznie. Podatność wynika z niedostatecznego escapowania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem administratora dołączanie dodatkowych zapytań SQL.

CVE-2026-12734
Średnie

Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybut bloku 'connectorWidth'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym dostępie do zainfekowanej strony.

CVE-2026-12731
Średnie

Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybuty bloków 'sectionTitleTag' i 'articleTitleTag'. Brak odpowiedniego oczyszczania danych wejściowych i kodowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym odwiedzeniu zainfekowanej strony.

CVE-2026-12729
Średnie

Wtyczka weDocs dla WordPressa w wersji do 2.3.0 zawiera brak autoryzacji w funkcji do_migration(). Atakujący z dostępem na poziomie Subskrybenta może wywołać migrację danych z BetterDocs do weDocs, tworząc i modyfikując wpisy typu 'docs', aktualizując opcje witryny oraz dezaktywując wtyczki BetterDocs i BetterDocs Pro.

CVE-2026-8247
Wysokie

Podatność typu Out-of-bounds Write w systemie WatchGuard Fireware OS umożliwia nieuwierzytelnionemu atakującemu w tej samej sieci lokalnej wykonanie dowolnego kodu.

CVE-2026-55726
Średnie

Kontener Azure Blob Storage przechowujący logi urządzeń Gardyn jest publicznie dostępny bez uwierzytelniania. Osoba atakująca może odczytać dowolny plik dziennika urządzenia znajdujący się w tym kontenerze.

CVE-2026-54477
Średnie

Panel administracyjny nie zawiera standardowych nagłówków bezpieczeństwa, co umożliwia ataki typu clickjacking oraz cross-site scripting (XSS).

CVE-2026-13768
Krytyczne

Urządzenia Gardyn ujawniają uprzywilejowany klucz iothubowner. Dostęp do tego klucza umożliwia atakującemu wywołanie funkcji IoTHub Registry Manager, która zwraca informacje o połączeniu dla wszystkich urządzeń Gardyn Home Kit i Studio. Ponadto klucz ten pozwala na wykonywanie dowolnych poleceń na konkretnym podłączonym urządzeniu oraz potencjalnie na przemieszczanie się do innych urządzeń w sieci ofiary.

CVE-2026-13728
Średnie

W wyjątkowych okolicznościach system Fireware OS w klastrze FireCluster może używać zakodowanego na stałe klucza szyfrującego do zabezpieczania zapisanych poświadczeń dla zasobów Access Portal. Podatność dotyczy wersji Fireware OS 12.1 do 12.12 oraz 2025.1 do 2026.2.

PoprzedniaStrona 12 z 4431Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS