Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2025-69154
Wysokie

W motywie WordPress Beauty Salon firmy SpaLab w wersji 6.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.

CVE-2025-69153
Wysokie

Wtyczka Trendy Travel w wersji 6.7 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2025-69152
Wysokie

Wtyczka Artale | Wedding Photography dla WordPressa w wersji 2.2.2 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2025-69134
Wysokie

Wtyczka OpenAI Chatbot for WordPress – Helper w wersji 1.1.4 i starszych zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu usunięcie dowolnej treści. Luka wynika z braku odpowiedniej autoryzacji i walidacji danych wejściowych.

CVE-2025-69133
Wysokie

Wtyczka Tourmaster w wersji 5.4.5 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez subskrybenta. Umożliwia to uwierzytelnionemu użytkownikowi z rolą subskrybenta odczyt dowolnych plików na serwerze.

CVE-2025-69094
Wysokie

Wtyczka Unicamp w wersji 2.2.2 i starszych zawiera podatność na wstrzykiwanie SQL przez subskrybenta. Atakujący z uprawnieniami subskrybenta może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.

CVE-2025-58902
Wysokie

W Lighthouse w wersjach do 1.2.12 występuje podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Umożliwia ona atakującemu bez uwierzytelnienia odczyt dowolnych plików z serwera.

CVE-2026-9834
WysokieEPSS 84%

Wtyczka WP Database Backup dla WordPressa do wersji 7.11 zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego przez parametr `wp_db_exclude_table`. Atakujący z uprawnieniami administratora może wysłać złośliwe dane, które są bezpośrednio łączone z poleceniem `mysqldump` bez odpowiedniego zabezpieczenia, co umożliwia wykonanie dowolnych poleceń na serwerze.

CVE-2026-8441
Wysokie

Wtyczka WP Review Slider Pro dla WordPressa zawiera podatność na wstrzykiwanie SQL przez parametr 'notinstring' w akcji AJAX wprp_load_more_revs. Niezabezpieczona wartość jest łączona bezpośrednio w klauzulę AND id NOT IN (...), co pozwala nieuwierzytelnionemu atakującemu na ekstrakcję danych z bazy.

CVE-2026-14336
Wysokie

Podatność w PIA polega na użyciu prostego sprawdzenia prefiksu ciągu znaków dla listy dozwolonych wystawców OIDC, zamiast walidacji jako w pełni kwalifikowanego URL-a z ograniczeniem do hosta. Atakujący może skonstruować złośliwego wystawcę, który spełnia warunek prefiksu, ale wskazuje na kontrolowany przez niego serwer. Umożliwia to nieuwierzytelnionemu wywołaniu endpointu POST /v1/upload/sbom wymuszenie wychodzących żądań HTTP(S) do dowolnego hosta oraz akceptację tokena JWT podpisanego kluczem atakującego.

CVE-2026-13369
Wysokie

Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.29 włącznie zawiera podatność na odczyt dowolnych plików. Funkcja attach_files() wykorzystuje nieprawidłowo walidowaną tablicę 'files' dostarczaną przez atakującego, co pozwala na ominięcie walidacji przesyłania, normalizacji ścieżki i tworzenia rekordów bazy danych. W rezultacie nieuwierzytelniony atakujący może odczytać dowolne pliki na serwerze.

CVE-2026-13251
WysokieEPSS 53%

Wtyczka Perfmatters dla WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 2.6.4 włącznie poprzez parametr 's'. Umożliwia to nieuwierzytelnionym atakującym odczyt zawartości dowolnych plików na serwerze, które mogą zawierać wrażliwe informacje.

CVE-2026-9563
Wysokie

W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.

CVE-2026-8147
Wysokie

W MLflow w wersjach przed 3.14.0, przy włączonym uwierzytelnianiu, punkty końcowe API śledzenia (trace) nie mają odpowiednich walidatorów autoryzacji. Pozwala to każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji na poziomie eksperymentu dla wszystkich operacji na śladach, w tym odczytu, usuwania i modyfikacji śladów w eksperymentach, do których nie ma uprawnień. Problem wynika z procedury `_before_request`, która nie rejestruje walidatorów autoryzacji dla punktów końcowych śledzenia, co powoduje, że żądania są przetwarzane bez weryfikacji.

CVE-2026-33592
Wysokie

Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę FindServers Discovery w bibliotece open62541. Pole serverUris w żądaniu FindServersRequest nie jest walidowane pod kątem długości ani rozmiaru tablicy, co pozwala na deklarację dowolnie dużego ciągu znaków (do ~3,9 GB) przesyłanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bezterminowo, aż do czasu wygaśnięcia SecureChannel.

CVE-2026-5821
Wysokie

Wtyczka Image Optimizer dla WordPressa w wersjach do 1.7.4 zawiera podatność na usuwanie dowolnych plików. Wynika to z braku walidacji ścieżek w funkcji Image_Backup::remove(), gdzie ścieżki plików kopii zapasowych przechowywane w metadanych posta są używane bezpośrednio w operacjach usuwania bez sprawdzenia, czy znajdują się w katalogu uploads. Uwierzytelniony atakujący z dostępem na poziomie Autora może zmodyfikować pole meta image_optimizer_metadata we własnych załącznikach, wstrzykując dowolne ścieżki plików, które zostaną usunięte po skasowaniu załącznika.

CVE-2026-14249
Wysokie

Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].

CVE-2026-57278
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision zawiera podatność na przepełnienie bufora w funkcji obsługującej polecenie `connectionInfo`. Atakujący z localhost może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57277
Wysokie

Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na przepełnienie bufora w funkcji obsługującej komendę `connectionInfo`. Atakujący z lokalnego hosta może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.

CVE-2026-57276
Wysokie

Podatność przepełnienia bufora w GeoWebPlayer (Web Plugin) pozwala atakującemu z localhost na wykonanie kodu poprzez wysłanie spreparowanego żądania WebSocket z polem 'password' zawierającym zbyt długi ciąg znaków. Funkcja handle_connection_info kopiuje dane do stałych buforów bez kontroli długości, co prowadzi do przepełnienia.

PoprzedniaStrona 12 z 3319Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS