Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W motywie WordPress Beauty Salon firmy SpaLab w wersji 6.7 i starszych występuje nieuwierzytelniona podatność na atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript bez konieczności logowania.
Wtyczka Trendy Travel w wersji 6.7 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wtyczka Artale | Wedding Photography dla WordPressa w wersji 2.2.2 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka OpenAI Chatbot for WordPress – Helper w wersji 1.1.4 i starszych zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu usunięcie dowolnej treści. Luka wynika z braku odpowiedniej autoryzacji i walidacji danych wejściowych.
Wtyczka Tourmaster w wersji 5.4.5 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez subskrybenta. Umożliwia to uwierzytelnionemu użytkownikowi z rolą subskrybenta odczyt dowolnych plików na serwerze.
Wtyczka Unicamp w wersji 2.2.2 i starszych zawiera podatność na wstrzykiwanie SQL przez subskrybenta. Atakujący z uprawnieniami subskrybenta może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
W Lighthouse w wersjach do 1.2.12 występuje podatność na nieuwierzytelnione lokalne dołączanie plików (LFI). Umożliwia ona atakującemu bez uwierzytelnienia odczyt dowolnych plików z serwera.
Wtyczka WP Database Backup dla WordPressa do wersji 7.11 zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego przez parametr `wp_db_exclude_table`. Atakujący z uprawnieniami administratora może wysłać złośliwe dane, które są bezpośrednio łączone z poleceniem `mysqldump` bez odpowiedniego zabezpieczenia, co umożliwia wykonanie dowolnych poleceń na serwerze.
Wtyczka WP Review Slider Pro dla WordPressa zawiera podatność na wstrzykiwanie SQL przez parametr 'notinstring' w akcji AJAX wprp_load_more_revs. Niezabezpieczona wartość jest łączona bezpośrednio w klauzulę AND id NOT IN (...), co pozwala nieuwierzytelnionemu atakującemu na ekstrakcję danych z bazy.
Podatność w PIA polega na użyciu prostego sprawdzenia prefiksu ciągu znaków dla listy dozwolonych wystawców OIDC, zamiast walidacji jako w pełni kwalifikowanego URL-a z ograniczeniem do hosta. Atakujący może skonstruować złośliwego wystawcę, który spełnia warunek prefiksu, ale wskazuje na kontrolowany przez niego serwer. Umożliwia to nieuwierzytelnionemu wywołaniu endpointu POST /v1/upload/sbom wymuszenie wychodzących żądań HTTP(S) do dowolnego hosta oraz akceptację tokena JWT podpisanego kluczem atakującego.
Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.29 włącznie zawiera podatność na odczyt dowolnych plików. Funkcja attach_files() wykorzystuje nieprawidłowo walidowaną tablicę 'files' dostarczaną przez atakującego, co pozwala na ominięcie walidacji przesyłania, normalizacji ścieżki i tworzenia rekordów bazy danych. W rezultacie nieuwierzytelniony atakujący może odczytać dowolne pliki na serwerze.
Wtyczka Perfmatters dla WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 2.6.4 włącznie poprzez parametr 's'. Umożliwia to nieuwierzytelnionym atakującym odczyt zawartości dowolnych plików na serwerze, które mogą zawierać wrażliwe informacje.
W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.
W MLflow w wersjach przed 3.14.0, przy włączonym uwierzytelnianiu, punkty końcowe API śledzenia (trace) nie mają odpowiednich walidatorów autoryzacji. Pozwala to każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji na poziomie eksperymentu dla wszystkich operacji na śladach, w tym odczytu, usuwania i modyfikacji śladów w eksperymentach, do których nie ma uprawnień. Problem wynika z procedury `_before_request`, która nie rejestruje walidatorów autoryzacji dla punktów końcowych śledzenia, co powoduje, że żądania są przetwarzane bez weryfikacji.
Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę FindServers Discovery w bibliotece open62541. Pole serverUris w żądaniu FindServersRequest nie jest walidowane pod kątem długości ani rozmiaru tablicy, co pozwala na deklarację dowolnie dużego ciągu znaków (do ~3,9 GB) przesyłanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bezterminowo, aż do czasu wygaśnięcia SecureChannel.
Wtyczka Image Optimizer dla WordPressa w wersjach do 1.7.4 zawiera podatność na usuwanie dowolnych plików. Wynika to z braku walidacji ścieżek w funkcji Image_Backup::remove(), gdzie ścieżki plików kopii zapasowych przechowywane w metadanych posta są używane bezpośrednio w operacjach usuwania bez sprawdzenia, czy znajdują się w katalogu uploads. Uwierzytelniony atakujący z dostępem na poziomie Autora może zmodyfikować pole meta image_optimizer_metadata we własnych załącznikach, wstrzykując dowolne ścieżki plików, które zostaną usunięte po skasowaniu załącznika.
Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].
Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision zawiera podatność na przepełnienie bufora w funkcji obsługującej polecenie `connectionInfo`. Atakujący z localhost może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.
Wtyczka GeoWebPlayer (Web Plugin/WS Player) dla oprogramowania GeoVision (GV-VMS, GV-Cloud) zawiera podatność na przepełnienie bufora w funkcji obsługującej komendę `connectionInfo`. Atakujący z lokalnego hosta może wysłać spreparowane dane JSON, które są kopiowane do buforów o stałym rozmiarze bez kontroli długości, co prowadzi do przepełnienia.
Podatność przepełnienia bufora w GeoWebPlayer (Web Plugin) pozwala atakującemu z localhost na wykonanie kodu poprzez wysłanie spreparowanego żądania WebSocket z polem 'password' zawierającym zbyt długi ciąg znaków. Funkcja handle_connection_info kopiuje dane do stałych buforów bez kontroli długości, co prowadzi do przepełnienia.

