Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wykryto podatność w Mage AI do wersji 0.9.79, która wpływa na funkcję useMutation w pliku mage_ai/frontend/components/Sessions/SignForm/index.tsx. Manipulacja argumentem query.redirect_url prowadzi do ataku typu cross-site scripting.
Zidentyfikowano słabość w Jinher OA C6, która dotyczy nieznanej funkcji w pliku /C6/JHSoft.Web.ModuleCount/GetFormSn.aspx. Manipulacja argumentem queryID może prowadzić do wstrzyknięcia SQL.
W aplikacji iAI Lab PDF AI App w wersji 4.21.0 na Androida odkryto lukę bezpieczeństwa w funkcji getExternalCacheDir komponentu chatpdf.pro. Manipulacja argumentem _display_name prowadzi do przejścia ścieżki.
Zidentyfikowano podatność w aplikacji vertex-app do wersji 2026.02.12, która dotyczy nieznanego przetwarzania pliku app/model/LogMod.js w komponencie Log Viewer Endpoint. Manipulacja argumentem req.query prowadzi do wstrzyknięcia poleceń systemowych.
W podatności CVE-2026-11406 zidentyfikowano problem w GL.iNet MT3000 do wersji 4.4.5, który dotyczy nieznanego kodu w pliku ovpnclient.sh komponentu OpenVPN Client Import Workflow. Wykorzystanie tej podatności prowadzi do wstrzyknięcia poleceń.
Wtyczka Photo Gallery by 10Web dla WordPressa jest podatna na atak typu SQL Injection oparty na czasie poprzez parametr 'compact_album_order_by' Shortcode. Problem dotyczy wszystkich wersji do 1.8.41 włącznie, z powodu niewystarczającego zabezpieczenia parametrów dostarczanych przez użytkownika.
Wtyczka WP Maps dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_messages' w wersjach do 4.9.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach.
Wtyczka Debug Log Manager dla WordPressa jest podatna na niewłaściwą neutralizację danych wyjściowych w logach we wszystkich wersjach do 2.5.0. Problem wynika z rejestracji handlera AJAX `log_js_errors()` dla nieautoryzowanych użytkowników, co pozwala na wstrzykiwanie fałszywych wpisów do logu debugowania.
Wtyczka MapPress Maps dla WordPressa jest podatna na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika w wersjach do 2.96.6 włącznie. Brak weryfikacji własności w trasach REST API umożliwia nieautoryzowanym atakującym dostęp do wrażliwych danych map.
Wtyczka Klamra Paycal dla Aspaclaria w WordPressie jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów w wersjach do 1.1.4 włącznie, przez parametr 'invoice_id', z powodu braku walidacji klucza kontrolowanego przez użytkownika. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, pobieranie dowolnych faktur klientów.
Wtyczka SEO od Squirrly SEO dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 12.4.16. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników do wykonywania określonych działań.
Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPress jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametry URL w trybie iframe w wersjach do 2.8.15 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Smart Slider 3 dla WordPressa jest podatna na atak typu Directory Traversal we wszystkich wersjach do i włącznie z 3.5.1.36 poprzez funkcję replaceHTMLImage. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczytanie zawartości dowolnych plików na serwerze.
Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia 'drag_n_drop_text' i 'drag_n_drop_browse_text' w wersjach do 1.3.9.7 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka OptinCraft – Drag & Drop Optins & Popup Builder dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order_by' we wszystkich wersjach do 1.2.0 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka LearnPress – WordPress LMS Plugin do tworzenia i sprzedaży kursów online jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.6 włącznie, poprzez parametr 'return_type'. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, takich jak hasła do chronionych kursów oraz pełne treści nieopublikowanych szkiców.
Wtyczka EmbedPress – PDF Embedder dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'url' w blokach we wszystkich wersjach do 4.5.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Click to Chat – WA Widget dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'num' shortcode'a [chat] w wersjach do 4.38 włącznie. Problem wynika z niewystarczającego zabezpieczenia przy osadzaniu wartości atrybutów shortcode'a dostarczonych przez użytkowników w łańcuchach znaków JavaScript.
Wtyczka WPForms – Easy Form Builder dla WordPressa jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 1.10.0.1 włącznie. Problem wynika z przetwarzania nieautoryzowanych ładunków JSON webhook przez punkt końcowy PayPal Commerce bez weryfikacji, czy żądanie pochodzi od PayPal.
Wtyczka Essential Addons for Elementor dla WordPressa jest podatna na ujawnienie informacji we wszystkich wersjach do 6.6.4 włącznie, z powodu niewystarczających ograniczeń w funkcji ajax_load_more. Umożliwia to nieautoryzowanym atakującym wydobycie danych z chronionych hasłem, prywatnych lub roboczych postów.

