Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-7566
Średnie

Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 4.1.4 włącznie, poprzez deserializację niezaufanych danych. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzyknięcie obiektu PHP.

CVE-2026-7565
Średnie

Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na odczyt dowolnych plików poprzez przejście po katalogach we wszystkich wersjach do 4.1.4 włącznie, za pomocą parametru 'import-user-file'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczyt zawartości dowolnych plików na serwerze.

CVE-2026-2500
Średnie

Wtyczka Quick Playground dla WordPressa jest podatna na atak typu Path Traversal we wszystkich wersjach do 1.3.4 włącznie. Funkcja `qckply_data()` przekazuje parametr `filename` z żądania POST bez walidacji, co pozwala na odczyt dowolnych plików na serwerze przez uwierzytelnionych atakujących z dostępem na poziomie Administratora.

CVE-2026-9281
Średnie

Wtyczka Master Addons For Elementor dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienie 'jtlma_custom_js'. Atakujący z dostępem na poziomie autora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-9008
Średnie

Wtyczka Page-list dla WordPressa jest podatna na brak autoryzacji we wszystkich wersjach do 6.2 włącznie. Funkcja pagelist_unqprfx_ext_shortcode() akceptuje atrybuty kontrolowane przez atakującego, co pozwala na ujawnienie treści prywatnych i roboczych stron.

CVE-2026-9719
Średnie

Wtyczka LatePoint – Calendar Booking Plugin for Appointments and Events dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 5.6.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji change_status.

CVE-2026-8976
Średnie

Wtyczka RSS Aggregator by Feedzy dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 5.1.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu co najmniej 'contributor' na tworzenie i wykonywanie zadań importu RSS oraz usuwanie powiązanych postów.

CVE-2026-8900
Średnie

Wtyczka Simple SEO Slideshow dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode w wersjach do 1.2.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współpracownika i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-8893
Średnie

Wtyczka Express Payment For Stripe dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'type' shortcode'a [stripe-express] w wersjach do 1.28.0 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na wartości atrybutu shortcode'a.

CVE-2026-8608
Średnie

Wtyczka Event Monster do zarządzania wydarzeniami w WordPressie jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 2.1.0. Problem wynika z handlera AJAX capture_payment(), który ufa danym płatności dostarczanym przez klienta bez weryfikacji po stronie serwera.

CVE-2026-7047
Średnie

Wtyczka Frontend User Notes dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 2.1.1. Problem wynika z braku lub niepoprawnej walidacji nonce w funkcji funp_ajax_modify_notes.

CVE-2026-6448
Średnie

Wtyczka Quiz and Survey Master (QSM) dla WordPressa jest podatna na atak typu time-based blind SQL Injection poprzez parametr 'order' w wersjach do 11.1.2 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-10038
Średnie

Wtyczka Charitable – Donation dla WordPress jest podatna na nieautoryzowany dostęp do obiektów, co prowadzi do możliwości usunięcia dowolnych załączników. Problem występuje w wersjach do 1.8.11.1 i wynika z braku walidacji właściciela załącznika podczas aktualizacji awatara profilu.

CVE-2026-7523
Średnie

Wtyczka Alba Board dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 2.1.3 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu subskrybenta i wyżej na dostęp do prywatnych danych postów alba_card.

CVE-2026-45409
Średnie

Wersje Pythona przed 3.15 mają problem z funkcją `idna.encode()`, która może być wykorzystana do przeprowadzenia ataku typu denial-of-service poprzez przetwarzanie specjalnie skonstruowanych argumentów. Wysokie wartości N w payloadach mogą prowadzić do długiego czasu przetwarzania.

CVE-2026-46401
Średnie

HAX CMS, używany do zarządzania mikrositami z backendem PHP lub NodeJs, ma problem z nieprawidłowym zakończeniem sesji w wersjach przed 26.0.0. Tokeny uwierzytelniające pozostają ważne po wylogowaniu użytkownika, co umożliwia atakującym uzyskanie trwałego dostępu do funkcji CMS.

CVE-2026-46397
Średnie

HAX CMS przed wersją 26.0.0 zawiera podatność typu Authenticated Local File Inclusion (LFI) w punkcie końcowym saveOutline, która pozwala użytkownikowi o niskich uprawnieniach na odczyt dowolnych plików na serwerze. Atakujący mogą wykorzystać tę lukę do wykradania wrażliwych plików systemowych.

CVE-2026-46357
Średnie

HAX CMS to system zarządzania mikrositami z backendami PHP lub NodeJS. Przed wersją 26.0.0 aplikacja HAX CMS w NodeJS ulega awarii, gdy uwierzytelniony atakujący wysyła specjalnie przygotowane żądanie utworzenia witryny do punktu końcowego createSite.

CVE-2026-45778
Średnie

OpenXDMoD przed wersją 11.0.3 ma lukę, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego JavaScriptu do profilu użytkownika. Wykorzystując funkcjonalność resetowania hasła, atakujący może wysłać link do złośliwej strony HTML, co może prowadzić do przejęcia konta użytkownika.

CVE-2026-45776
Średnie

W OpenXDMoD przed wersją 11.0.3 występuje luka w logice kontroli dostępu, która pozwala atakującemu na przesłanie spreparowanego żądania HTTPS POST, co umożliwia obejście ograniczeń dostępu do danych. Luka ta dotyczy instalacji zawierających opcjonalny moduł Job Performance (SUPReMM).

PoprzedniaStrona 165 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS