Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-11436
Średnie

Wykryto podatność w Mage AI do wersji 0.9.79, która wpływa na funkcję useMutation w pliku mage_ai/frontend/components/Sessions/SignForm/index.tsx. Manipulacja argumentem query.redirect_url prowadzi do ataku typu cross-site scripting.

CVE-2026-11412
Średnie

Zidentyfikowano słabość w Jinher OA C6, która dotyczy nieznanej funkcji w pliku /C6/JHSoft.Web.ModuleCount/GetFormSn.aspx. Manipulacja argumentem queryID może prowadzić do wstrzyknięcia SQL.

CVE-2026-11411
Średnie

W aplikacji iAI Lab PDF AI App w wersji 4.21.0 na Androida odkryto lukę bezpieczeństwa w funkcji getExternalCacheDir komponentu chatpdf.pro. Manipulacja argumentem _display_name prowadzi do przejścia ścieżki.

CVE-2026-11408
Średnie

Zidentyfikowano podatność w aplikacji vertex-app do wersji 2026.02.12, która dotyczy nieznanego przetwarzania pliku app/model/LogMod.js w komponencie Log Viewer Endpoint. Manipulacja argumentem req.query prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-11406
Średnie

W podatności CVE-2026-11406 zidentyfikowano problem w GL.iNet MT3000 do wersji 4.4.5, który dotyczy nieznanego kodu w pliku ovpnclient.sh komponentu OpenVPN Client Import Workflow. Wykorzystanie tej podatności prowadzi do wstrzyknięcia poleceń.

CVE-2026-9829
Średnie

Wtyczka Photo Gallery by 10Web dla WordPressa jest podatna na atak typu SQL Injection oparty na czasie poprzez parametr 'compact_album_order_by' Shortcode. Problem dotyczy wszystkich wersji do 1.8.41 włącznie, z powodu niewystarczającego zabezpieczenia parametrów dostarczanych przez użytkownika.

CVE-2026-9594
Średnie

Wtyczka WP Maps dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_messages' w wersjach do 4.9.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach.

CVE-2026-9016
Średnie

Wtyczka Debug Log Manager dla WordPressa jest podatna na niewłaściwą neutralizację danych wyjściowych w logach we wszystkich wersjach do 2.5.0. Problem wynika z rejestracji handlera AJAX `log_js_errors()` dla nieautoryzowanych użytkowników, co pozwala na wstrzykiwanie fałszywych wpisów do logu debugowania.

CVE-2026-8839
Średnie

Wtyczka MapPress Maps dla WordPressa jest podatna na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika w wersjach do 2.96.6 włącznie. Brak weryfikacji własności w trasach REST API umożliwia nieautoryzowanym atakującym dostęp do wrażliwych danych map.

CVE-2026-8611
Średnie

Wtyczka Klamra Paycal dla Aspaclaria w WordPressie jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów w wersjach do 1.1.4 włącznie, przez parametr 'invoice_id', z powodu braku walidacji klucza kontrolowanego przez użytkownika. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie subskrybenta lub wyższym, pobieranie dowolnych faktur klientów.

CVE-2026-7624
Średnie

Wtyczka SEO od Squirrly SEO dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 12.4.16. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników do wykonywania określonych działań.

CVE-2026-9280
Średnie

Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPress jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametry URL w trybie iframe w wersjach do 2.8.15 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-9197
Średnie

Wtyczka Smart Slider 3 dla WordPressa jest podatna na atak typu Directory Traversal we wszystkich wersjach do i włącznie z 3.5.1.36 poprzez funkcję replaceHTMLImage. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczytanie zawartości dowolnych plików na serwerze.

CVE-2026-8991
Średnie

Wtyczka Drag and Drop Multiple File Upload dla Contact Form 7 w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia 'drag_n_drop_text' i 'drag_n_drop_browse_text' w wersjach do 1.3.9.7 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-8978
Średnie

Wtyczka OptinCraft – Drag & Drop Optins & Popup Builder dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'order_by' we wszystkich wersjach do 1.2.0 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-8502
Średnie

Wtyczka LearnPress – WordPress LMS Plugin do tworzenia i sprzedaży kursów online jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 4.3.6 włącznie, poprzez parametr 'return_type'. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, takich jak hasła do chronionych kursów oraz pełne treści nieopublikowanych szkiców.

CVE-2026-7796
Średnie

Wtyczka EmbedPress – PDF Embedder dla WordPress jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'url' w blokach we wszystkich wersjach do 4.5.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-7795
Średnie

Wtyczka Click to Chat – WA Widget dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'num' shortcode'a [chat] w wersjach do 4.38 włącznie. Problem wynika z niewystarczającego zabezpieczenia przy osadzaniu wartości atrybutów shortcode'a dostarczonych przez użytkowników w łańcuchach znaków JavaScript.

CVE-2026-7792
Średnie

Wtyczka WPForms – Easy Form Builder dla WordPressa jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 1.10.0.1 włącznie. Problem wynika z przetwarzania nieautoryzowanych ładunków JSON webhook przez punkt końcowy PayPal Commerce bez weryfikacji, czy żądanie pochodzi od PayPal.

CVE-2026-7665
Średnie

Wtyczka Essential Addons for Elementor dla WordPressa jest podatna na ujawnienie informacji we wszystkich wersjach do 6.6.4 włącznie, z powodu niewystarczających ograniczeń w funkcji ajax_load_more. Umożliwia to nieautoryzowanym atakującym wydobycie danych z chronionych hasłem, prywatnych lub roboczych postów.

PoprzedniaStrona 164 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS