Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na wstrzyknięcie obiektów PHP w wersjach do 4.1.4 włącznie, poprzez deserializację niezaufanych danych. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzyknięcie obiektu PHP.
Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na odczyt dowolnych plików poprzez przejście po katalogach we wszystkich wersjach do 4.1.4 włącznie, za pomocą parametru 'import-user-file'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczyt zawartości dowolnych plików na serwerze.
Wtyczka Quick Playground dla WordPressa jest podatna na atak typu Path Traversal we wszystkich wersjach do 1.3.4 włącznie. Funkcja `qckply_data()` przekazuje parametr `filename` z żądania POST bez walidacji, co pozwala na odczyt dowolnych plików na serwerze przez uwierzytelnionych atakujących z dostępem na poziomie Administratora.
Wtyczka Master Addons For Elementor dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienie 'jtlma_custom_js'. Atakujący z dostępem na poziomie autora mogą wstrzykiwać dowolne skrypty webowe, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Wtyczka Page-list dla WordPressa jest podatna na brak autoryzacji we wszystkich wersjach do 6.2 włącznie. Funkcja pagelist_unqprfx_ext_shortcode() akceptuje atrybuty kontrolowane przez atakującego, co pozwala na ujawnienie treści prywatnych i roboczych stron.
Wtyczka LatePoint – Calendar Booking Plugin for Appointments and Events dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 5.6.0. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji change_status.
Wtyczka RSS Aggregator by Feedzy dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 5.1.7 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu co najmniej 'contributor' na tworzenie i wykonywanie zadań importu RSS oraz usuwanie powiązanych postów.
Wtyczka Simple SEO Slideshow dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty shortcode w wersjach do 1.2.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współpracownika i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Wtyczka Express Payment For Stripe dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'type' shortcode'a [stripe-express] w wersjach do 1.28.0 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia na wartości atrybutu shortcode'a.
Wtyczka Event Monster do zarządzania wydarzeniami w WordPressie jest podatna na niewystarczającą weryfikację autentyczności danych w wersjach do 2.1.0. Problem wynika z handlera AJAX capture_payment(), który ufa danym płatności dostarczanym przez klienta bez weryfikacji po stronie serwera.
Wtyczka Frontend User Notes dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 2.1.1. Problem wynika z braku lub niepoprawnej walidacji nonce w funkcji funp_ajax_modify_notes.
Wtyczka Quiz and Survey Master (QSM) dla WordPressa jest podatna na atak typu time-based blind SQL Injection poprzez parametr 'order' w wersjach do 11.1.2 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Charitable – Donation dla WordPress jest podatna na nieautoryzowany dostęp do obiektów, co prowadzi do możliwości usunięcia dowolnych załączników. Problem występuje w wersjach do 1.8.11.1 i wynika z braku walidacji właściciela załącznika podczas aktualizacji awatara profilu.
Wtyczka Alba Board dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 2.1.3 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkowników, co pozwala atakującym z poziomem dostępu subskrybenta i wyżej na dostęp do prywatnych danych postów alba_card.
Wersje Pythona przed 3.15 mają problem z funkcją `idna.encode()`, która może być wykorzystana do przeprowadzenia ataku typu denial-of-service poprzez przetwarzanie specjalnie skonstruowanych argumentów. Wysokie wartości N w payloadach mogą prowadzić do długiego czasu przetwarzania.
HAX CMS, używany do zarządzania mikrositami z backendem PHP lub NodeJs, ma problem z nieprawidłowym zakończeniem sesji w wersjach przed 26.0.0. Tokeny uwierzytelniające pozostają ważne po wylogowaniu użytkownika, co umożliwia atakującym uzyskanie trwałego dostępu do funkcji CMS.
HAX CMS przed wersją 26.0.0 zawiera podatność typu Authenticated Local File Inclusion (LFI) w punkcie końcowym saveOutline, która pozwala użytkownikowi o niskich uprawnieniach na odczyt dowolnych plików na serwerze. Atakujący mogą wykorzystać tę lukę do wykradania wrażliwych plików systemowych.
HAX CMS to system zarządzania mikrositami z backendami PHP lub NodeJS. Przed wersją 26.0.0 aplikacja HAX CMS w NodeJS ulega awarii, gdy uwierzytelniony atakujący wysyła specjalnie przygotowane żądanie utworzenia witryny do punktu końcowego createSite.
OpenXDMoD przed wersją 11.0.3 ma lukę, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwego JavaScriptu do profilu użytkownika. Wykorzystując funkcjonalność resetowania hasła, atakujący może wysłać link do złośliwej strony HTML, co może prowadzić do przejęcia konta użytkownika.
W OpenXDMoD przed wersją 11.0.3 występuje luka w logice kontroli dostępu, która pozwala atakującemu na przesłanie spreparowanego żądania HTTPS POST, co umożliwia obejście ograniczeń dostępu do danych. Luka ta dotyczy instalacji zawierających opcjonalny moduł Job Performance (SUPReMM).

