Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-57339
Średnie

Wtyczka Business Directory w wersji 6.4.23 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.

CVE-2026-57338
Wysokie

Wtyczka ARForms w wersji 7.1.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57337
Wysokie

Wtyczka Landing Page Builder w wersji 1.5.3.5 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.

CVE-2026-57336
Wysokie

Wtyczka Jobify w wersji 4.3.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57335
Średnie

Wtyczka Ads by WPQuads w wersji 3.0.3 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Oznacza to, że użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji reklamowych.

CVE-2026-57334
Średnie

Wtyczka WP User Frontend w wersjach do 4.3.7 zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji przeznaczonych dla zalogowanych użytkowników.

CVE-2026-57333
Wysokie

Wtyczka Link Whisper Free w wersji 0.9.4 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy skrypt bez konieczności logowania.

CVE-2026-57332
Wysokie

Wtyczka Wallet System for WooCommerce w wersji 2.7.6 i starszych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla subskrybentów. Umożliwia to użytkownikom z rolą subskrybenta wykonywanie operacji, do których nie powinni mieć uprawnień.

CVE-2026-57331
Krytyczne

Podatność w skrypcie Performer Arbitrary File Deletion w Paid Videochat Turnkey Site w wersjach do 7.4.8 umożliwia usunięcie dowolnego pliku na serwerze. Atakujący może wykorzystać tę lukę do usunięcia krytycznych plików systemowych lub aplikacji.

CVE-2026-57330
Średnie

Podatność Cross Site Scripting (XSS) wtyczki MasterStudy LMS w wersji 3.7.27 i starszych umożliwia atakującemu o roli subskrybenta wstrzyknięcie złośliwego skryptu. Może to prowadzić do kradzieży sesji lub przekierowania użytkownika na niebezpieczną stronę.

CVE-2026-57329
Średnie

Wtyczka WooCommerce Designer Pro w wersji 1.9.34 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) z poziomu subskrybenta. Umożliwia ona atakującemu z rolą subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.

CVE-2026-57328
Średnie

Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript przez uwierzytelnionego użytkownika o roli subskrybenta.

CVE-2026-57327
Średnie

Wtyczka MainWP dla WordPressa w wersji 6.1.1 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.

CVE-2026-57326
Średnie

Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.

CVE-2026-57320
Wysokie

W systemie BEAR w wersji 1.1.8 i starszych występuje podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony bez konieczności logowania.

CVE-2026-56290
KrytyczneAktywnie exploitowaneEPSS 50%

Rozszerzenie Page Builder CK dla Joomla zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu przesłanie dowolnego pliku, w tym plików wykonywalnych, co prowadzi do zdalnego wykonania kodu (RCE).

CVE-2026-56124
Wysokie

phpUploader przed wersją 2.0.2 zawiera nieuwierzytelnioną podatność na ujawnienie informacji, która pozwala zdalnym atakującym na dostęp do pełnej zawartości tabeli bazy danych przesłanych plików poprzez odwiedzenie dowolnej strony aplikacji. Model indeksu wykonuje nieograniczone zapytanie SELECT i osadza kompletny zestaw wyników zakodowany w JSON w bloku skryptu inline, ujawniając adresy IP przesyłającego, skróty kluczy Argon2ID, wewnętrzne nazwy plików oraz odciski palców SHA-256.

CVE-2026-55844
Wysokie

Aplikacja towarzysząca Home Assistant na iOS ignoruje listę dozwolonych SSID dla sieci wewnętrznych. Gdy nie znajdzie innego adresu URL, używa wewnętrznego, co może ujawnić token użytkownika w niezabezpieczonej sieci.

CVE-2026-55607
Wysokie

Podatność w narzędziu Claude Code (wersje od 2.1.38 do 2.1.163) umożliwia atak przez manipulację worktree, w tym tworzenie worktree o nazwie ".git" i nawigację poza sandbox. Atakujący może nadpisać pliki w katalogu domowym użytkownika (np. .zshenv), co prowadzi do wykonania kodu poza ograniczeniami sandboxa.

CVE-2026-49049
Wysokie

Wtyczka Helix3 dla Joomla! udostępnia zadanie obsługi AJAX, które pozwala nieuwierzytelnionym atakującym na usuwanie dowolnych plików, zapisywanie dowolnych plików JSON oraz aktualizację parametrów szablonu.

PoprzedniaStrona 145 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS