Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka WP Emoticon Rating dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.0.1. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji.
Wtyczka WpMobi dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 0.0.3 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji handleSaveGeneralSettings, co pozwala nieautoryzowanym atakującym na modyfikację ustawień ogólnych wtyczki.
Wtyczka WP-Ultimate-Map dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku walidacji nonce w funkcji process_init(), co pozwala na zapis ustawień wtyczki na podstawie obecności parametru POST save-setting.
Wtyczka FastPicker, system do zarządzania zamówieniami dla WooCommerce, jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.0.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji settingsPage, co pozwala nieautoryzowanym atakującym na modyfikację ustawień wtyczki.
Wtyczka AJAX Report Comments dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do 2.0.4 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji rc_options_page.
Wtyczka kk blog card dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'blog-card' we wszystkich wersjach do 1.3 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach 'href' i 'type' shortcode'a.
Wtyczka Global Body Mass Index Calculator dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'gbmicalc' w wersjach do 1.2 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w atrybutach shortcode dostarczanych przez użytkowników.
Wtyczka WP ApplicantStack Jobs Display dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode we wszystkich wersjach do 1.1.1 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka RomanCart Ecommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'blclass' oraz inne atrybuty shortcode'a romancart_button w wersjach do 2.0.8 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w funkcji romancart_button_shortcode().
Wtyczka Extra Settings for RocketChat dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'title' shortcode'a 'rocketchat' w wersjach do 0.1 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych oraz ucieczki danych wyjściowych w funkcji rxstg_shortcode().
Wtyczka Helpfulcrowd Product Reviews dla WordPressa jest podatna na obejście autoryzacji poprzez nieprawidłowe porównanie typów w wersjach do 1.2.9 włącznie. Funkcja `helpfulcrowd_validate_token()` używa luźnego operatora porównania, co pozwala nieautoryzowanym użytkownikom na modyfikację ustawień wtyczki.
Wtyczka ePaperFlip Publisher dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'publicationid' shortcode'a `epaperflip_embed` w wersjach do 1 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na atrybucie shortcode'a, co pozwala na wstrzykiwanie skryptów webowych.
W module podglądu plików występuje luka w kontroli uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.
W module drukowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność i poufność danych.
W module klonowania występuje podatność związana z kontrolą uprawnień. Skuteczne wykorzystanie tej podatności może wpłynąć na poufność usług.
W module zarządzania siecią występuje podatność związana z zarządzaniem uprawnieniami. Skuteczne wykorzystanie tej podatności może wpłynąć na integralność usług.
Podatność w Spring Framework wynika z nieprawidłowego parsowania hosta przez UriComponentsBuilder. Aplikacje używające tego komponentu do analizy i walidacji zewnętrznych adresów URL mogą być narażone na atak SSRF (Server-Side Request Forgery).
Podatność w Spring MVC i WebFlux umożliwia ataki typu Multipart request smuggling. Luka występuje w Spring Framework w wersjach od 7.0.0 do 7.0.7, od 6.2.0 do 6.2.18, od 6.1.0 do 6.1.27 oraz od 5.3.0 do 5.3.48.
Aplikacje akceptujące wyrażenia SpEL od użytkownika mogą być podatne na atak DoS, jeśli ewaluacja wyrażenia powoduje nieograniczony wzrost pamięci podręcznej.
Aplikacje Spring WebFlux mogą być podatne na obejście zabezpieczeń podczas korzystania z Kotlin Router DSL.

