Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka Business Directory w wersji 6.4.23 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka ARForms w wersji 7.1.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka Landing Page Builder w wersji 1.5.3.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.
Wtyczka Jobify w wersji 4.3.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka Ads by WPQuads w wersji 3.0.3 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Oznacza to, że użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji reklamowych.
Wtyczka WP User Frontend w wersjach do 4.3.7 zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji przeznaczonych dla zalogowanych użytkowników.
Wtyczka Link Whisper Free w wersji 0.9.4 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.
Wtyczka Wallet System for WooCommerce w wersji 2.7.6 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie operacji, do których nie powinni mieć uprawnień.
Podatność w skrypcie Performer Arbitrary File Deletion w Paid Videochat Turnkey Site w wersjach do 7.4.8 umożliwia usunięcie dowolnego pliku na serwerze. Atakujący może wykorzystać tę lukę do usunięcia krytycznych plików systemowych lub aplikacji.
Podatność Cross Site Scripting (XSS) wtyczki MasterStudy LMS w wersji 3.7.27 i starszych umożliwia atakującemu o roli subskrybenta wstrzyknięcie złośliwego skryptu. Może to prowadzić do kradzieży sesji lub przekierowania użytkownika na niebezpieczną stronę.
Wtyczka WooCommerce Designer Pro w wersji 1.9.34 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) z poziomu subskrybenta. Umożliwia ona atakującemu z rolą subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript przez uwierzytelnionego użytkownika o roli subskrybenta.
Wtyczka MainWP dla WordPressa w wersji 6.1.1 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
W systemie BEAR w wersji 1.1.8 i starszych występuje podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony bez konieczności logowania.
Rozszerzenie Page Builder CK dla Joomla zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu przesłanie dowolnego pliku, w tym plików wykonywalnych, co prowadzi do zdalnego wykonania kodu (RCE).
phpUploader przed wersją 2.0.2 zawiera nieuwierzytelnioną podatność na ujawnienie informacji, która pozwala zdalnym atakującym na dostęp do pełnej zawartości tabeli bazy danych przesłanych plików poprzez odwiedzenie dowolnej strony aplikacji. Model indeksu wykonuje nieograniczone zapytanie SELECT i osadza kompletny zestaw wyników zakodowany w JSON w bloku skryptu inline, ujawniając adresy IP przesyłającego, skróty kluczy Argon2ID, wewnętrzne nazwy plików oraz odciski palców SHA-256.
Aplikacja towarzysząca Home Assistant na iOS ignoruje listę dozwolonych SSID dla sieci wewnętrznych. Gdy nie znajdzie innego adresu URL, używa wewnętrznego, co może ujawnić token użytkownika w niezabezpieczonej sieci.
Podatność w narzędziu Claude Code (wersje od 2.1.38 do 2.1.163) umożliwia atak przez manipulację worktree, w tym tworzenie worktree o nazwie ".git" i nawigację poza sandbox. Atakujący może nadpisać pliki w katalogu domowym użytkownika (np. .zshenv), co prowadzi do wykonania kodu poza ograniczeniami sandboxa.
Wtyczka Helix3 dla Joomla! udostępnia zadanie obsługi AJAX, które pozwala nieuwierzytelnionym atakującym na usuwanie dowolnych plików, zapisywanie dowolnych plików JSON oraz aktualizację parametrów szablonu.

