Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-12408
Średnie

Wtyczka Slim SEO dla WordPressa do wersji 4.9.8 włącznie zawiera podatność umożliwiającą nieautoryzowane ujawnienie prywatnych treści. Problem występuje w punkcie końcowym REST API `/wp-json/slim-seo/meta-tags/ai`, który nie sprawdza poprawnie uprawnień użytkownika do odczytu konkretnego posta, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym na pobranie podsumowania treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, przyszłych i chronionych hasłem.

CVE-2026-10540
Średnie

Control-M/Enterprise Manager używa słabych zabezpieczeń dla przechowywanych skrótów haseł kont, co może umożliwić ataki offline na odzyskanie haseł, jeśli dane uwierzytelniające zostaną uzyskane przez atakującego. Podatność dotyczy niewspieranych wersji 9.0.20.x oraz potencjalnie wcześniejszych niewspieranych wersji.

CVE-2026-10096
Średnie

Wtyczka Qi Blocks dla WordPressa jest podatna na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w wersjach do 1.4.9 włącznie. Brak walidacji parametru 'page_id' umożliwia uwierzytelnionym atakującym z dostępem autora i wyższym modyfikację stylów Qi Blocks w dowolnych postach, szablonach lub widgetach, których nie są właścicielami, w tym na powierzchniach ogólnoserwisowych poprzez zarezerwowane wartości 'template' i 'widget'.

CVE-2026-11887
Średnie

Wtyczka Salon Booking System dla WordPress przed wersją 10.30.20 nie posiada odpowiednich kontroli autoryzacji w jednej z akcji AJAX, co pozwala każdemu uwierzytelnionemu użytkownikowi (np. subskrybentowi) na modyfikację ustawień wtyczki i ominięcie ręcznego zatwierdzania nowych rezerwacji.

CVE-2026-11570
Średnie

Wtyczka User Submitted Posts dla WordPressa przed wersją 20260608 nie zabezpiecza przesłanej wartości przed wyświetleniem jej w szablonie skonfigurowanym przez administratora, co prowadzi do podatności na trwałe Cross-Site Scripting (XSS). Podatność może być wykorzystana przez nieuwierzytelnionych użytkowników, gdy włączona jest niestandardowa opcja wyświetlania.

CVE-2026-11562
Średnie

Wtyczka WS Form LITE dla WordPressa przed wersją 1.11.8 nie posiada sprawdzenia uprawnień w jednej z akcji aktualizacji ustawień, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie subskrybenta i wyższym na modyfikację ustawień wtyczki.

CVE-2025-15666
Średnie

W bibliotece Open Asset Import Library Assimp do wersji 5.4.3 wykryto podatność w funkcji Assimp::SceneCombiner::Copy pliku SceneCombiner.cpp. Manipulacja argumentami szerokości/wysokości prowadzi do przepełnienia bufora sterty.

CVE-2026-9107
Średnie

Wtyczka Kali Forms dla WordPressa do wersji 2.4.13 zawiera podatność na trwałe ataki XSS przez parametr 'meta[kaliforms_field_components]'. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą wstrzykiwać dowolne skrypty, które wykonają się podczas przeglądania zainfekowanej strony.

CVE-2026-7828
ŚrednieEPSS 53%

W repeaterze UltraVNC do wersji 1.8.2.2 występuje przepełnienie liczby całkowitej w funkcji win_log() podczas alokacji pamięci dla listy węzłów. Atakujący może wysłać odpowiednio długi URI HTTP, co prowadzi do przepełnienia bufora sterty, potencjalnie umożliwiając zapis poza przydzielonym obszarem.

CVE-2026-58519
Średnie

Podatność typu Stored XSS w rozszerzeniu Cargo dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego skryptu, który jest przechowywany na serwerze i wykonywany w przeglądarce ofiary. Problem dotyczy wersji rozszerzenia przed 3.9.1.

CVE-2026-58518
Średnie

Podatność CSRF w rozszerzeniu RedirectManager dla MediaWiki umożliwia atakującemu wykonanie nieautoryzowanych działań w kontekście uwierzytelnionego użytkownika. Problem dotyczy wersji rozszerzenia przed 1.3.3.

CVE-2026-44041
Średnie

UltraVNC do wersji 1.8.2.2 zawiera podatność na odczyt poza zakresem w funkcji konwersji szerokich znaków na wielobajtowe. Funkcja vncWc2Mb() w pliku rfb/dh.cpp:204 wywołuje wcslen() na wskaźniku dostarczonym przez wywołującego bez uprzedniego sprawdzenia granic, co może prowadzić do odczytu poza buforem.

CVE-2026-44040
Średnie

UltraVNC do wersji 1.8.2.2 używa kryptograficznie słabego generatora liczb pseudolosowych do tworzenia bajtów wyzwania uwierzytelniania VNC. Funkcja vncRandomBytes() inicjuje libc rand() wartościami time(0) + getpid() + rand(), co daje przestrzeń ziarna około 31 bitów, całkowicie determinowaną przez publicznie obserwowalne wartości (czas i PID). Atakujący może przewidzieć wyzwanie w ciągu sekund, co umożliwia fałszowanie lub brute-force odpowiedzi.

CVE-2026-2387
Średnie

Wtyczka Event Organiser dla WordPressa jest podatna na przechowywany atak XSS we wszystkich wersjach do 3.12.9 włącznie. Podatność wynika z akceptowania przez shortcode 'eo_events' kontrolowanej przez atakującego treści 'no_events' i renderowania jej w szablonach list wydarzeń bez odpowiedniego escapingu wyjścia.

CVE-2026-13443
Średnie

Wtyczka Tutor LMS dla WordPressa do wersji 3.9.13 włącznie zawiera podatność na trwałe ataki XSS przez tytuł załącznika lekcji. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.

CVE-2026-13246
Średnie

Wtyczka GiveWP dla WordPressa do 4.16.0 zawiera podatność na trwałe XSS przez atrybuty shortcode 'givewp_campaign_comments'. Atakujący z dostępem autora mogą wstrzyknąć dowolny skrypt, który wykona się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-13015
Średnie

Wtyczka Wp Google Places Review Slider dla WordPressa do wersji 18.1 zawiera odbitą podatność na Cross-Site Scripting (XSS) przez parametr 'place'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych w pliku admin/partials/googlecrawl_dfs.php pozwala nieuwierzytelnionym atakującym na wstrzyknięcie dowolnego skryptu, który wykona się po kliknięciu przez ofiarę spreparowanego linku.

CVE-2026-12904
Średnie

Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Mechanizm autoryzacji sprawdza uprawnienia na podstawie identyfikatora posta (post_id) podanego przez użytkownika, ale operacje odczytu i usuwania rekordów analizy optymalizatora są wykonywane na podstawie skrótu ścieżki pliku (post_path), który może być dowolnie zmieniony przez atakującego. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora lub wyższym odczytywanie lub usuwanie rekordów analizy należących do postów innych użytkowników.

CVE-2026-12902
Średnie

Wtyczka Kadence Blocks dla WordPressa do wersji 3.7.7 włącznie nieprawidłowo weryfikuje uprawnienia użytkownika, co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na tworzenie dowolnych załączników w bibliotece multimediów. Atakujący może zdalnie pobrać obrazy do katalogu uploads, omijając ograniczenia związane z uprawnieniem upload_files.

CVE-2026-12135
Średnie

Wtyczka FV Flowplayer Video Player dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'align' w shortcode'u 'video_player' we wszystkich wersjach do 7.5.51.7212 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla atrybutów dostarczanych przez użytkownika.

PoprzedniaStrona 14 z 485Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS