Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka Gallery dla WordPressa w wersji 4.7.8 i starszych zawiera podatność na wstrzykiwanie SQL w funkcji Contributor. Umożliwia to atakującemu z uprawnieniami współautora wykonanie nieautoryzowanych zapytań do bazy danych.
W wersjach Real Estate 7 do 3.5.9 włącznie występuje luka umożliwiająca atak CSRF bez uwierzytelnienia. Atakujący może nakłonić zalogowanego administratora do wykonania niezamierzonych działań w aplikacji.
Wtyczka MasterStudy LMS w wersjach do 3.7.30 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Podatność Cross Site Scripting (XSS) w wtyczce Fluent Booking w wersjach do 2.1.0 umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript przez nieprawidłowo filtrowane dane wejściowe od współpracowników.
Nieuwierzytelniona podatność na fałszowanie żądania międzywitrynowego (CSRF) w wtyczce Abandoned Cart Lite for WooCommerce w wersjach do 6.8.0 włącznie. Atakujący może nakłonić administratora do wykonania niezamierzonych działań bez jego wiedzy.
Wtyczka wpForo Forum w wersji 3.0.9 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórców. Atakujący z uprawnieniami współtwórcy może wstrzyknąć złośliwe zapytania SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych.
Wtyczka FunnelKit Payment Gateway for Stripe WooCommerce w wersji 1.14.0.3 i starszych zawiera podatność na nieuwierzytelnione fałszerstwo żądania międzywitrynowego (CSRF). Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście zalogowanego administratora sklepu WooCommerce.
Wtyczka PPWP w wersji 1.9.19 i starszych zawiera podatność na niebezpieczne bezpośrednie odwołania do obiektów (IDOR) w funkcjonalności dla współtwórców. Umożliwia to nieautoryzowany dostęp do prywatnych danych.
Wtyczka WCBoost – Products Compare w wersji 1.1.0 i niższych umożliwia nieuwierzytelnionym użytkownikom dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniego zabezpieczenia endpointów API lub stron wyświetlających poufne informacje.
Wtyczka Email Marketing for WooCommerce by Omnisend w wersji 1.19.0 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji administracyjnych.
Podatność typu SQL Injection w komponencie Popup box w wersjach do 6.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL. Atakujący z uprawnieniami administratora może manipulować zapytaniami do bazy danych.
Wtyczka Blocksy Companion Pro w wersji 2.1.46 i starszych zawiera podatność na nieuwierzytelnione, niebezpieczne bezpośrednie odwołania do obiektów (IDOR). Umożliwia to atakującemu bez logowania dostęp do zasobów, które powinny być chronione.
Wtyczka StatCounter w wersji 2.1.1 i starszych zawiera podatność na atak XSS (Cross Site Scripting) w funkcji Contributor. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony.
Podatność SQL Injection wtyczki WP All Import w wersjach do 4.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL do bazy danych.
Podatność typu Server Side Request Forgery (SSRF) w wtyczce Kirki w wersjach do 6.0.11 umożliwia subskrybentowi wysyłanie żądań HTTP z serwera do wewnętrznych zasobów sieciowych.
Wtyczka WPCafe w wersji 3.0.14 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Osoba z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Podatność na atak typu Cross Site Scripting (XSS) w wtyczce Neve PRO w wersjach do 3.1.2 włącznie. Luka umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript do strony, co może prowadzić do kradzieży sesji lub przekierowania użytkownika.
Wtyczka SeedProd Pro w wersjach starszych niż 6.19.5 zawiera podatność na atak typu Cross Site Scripting (XSS) w funkcji dla współtwórców. Umożliwia ona osobie atakującej wstrzyknięcie złośliwego kodu JavaScript do stron generowanych przez wtyczkę.
Dodatek ViewState dla Zed Attack Proxy (ZAP) przed wersją 4 zawiera podatność na niezabezpieczoną deserializację, która umożliwia atakującym kontrolującym serwer proxy osiągnięcie zdalnego wykonania kodu poprzez osadzenie złośliwego, serializowanego obiektu Java w parametrze odpowiedzi HTTP javax.faces.ViewState. Metoda JSFViewState.decode() dekoduje wartość ViewState z base64 i przekazuje ją bezpośrednio do ObjectInputStream.readObject() bez filtra deserializacji, listy dozwolonych typów ani ograniczeń, co powoduje deserializację złośliwego obiektu w JVM ZAP podczas renderowania panelu ViewState w interfejsie Desktop UI.
Wtyczka Featured Image dla WordPressa w wersji 2.1 i starszych zawiera podatność na atak XSS (Cross-Site Scripting) w funkcji autora. Umożliwia to wstrzyknięcie złośliwego kodu JavaScript przez nieautoryzowanego użytkownika.

