Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-2382
Średnie

Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-1451
Średnie

Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2026-1450
Średnie

Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'mode' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2025-5085
Średnie

Wtyczka WP Nano AD dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'blogrole_link' we wszystkich wersjach do 1.31 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-3198
Średnie

MLflow w wersji 3.9.0 z podstawową autoryzacją nie egzekwuje kontroli dostępu dla wielu punktów końcowych API Gateway 'list'. Słownik `BEFORE_REQUEST_HANDLERS` nie zawiera wpisów dla `ListGatewaySecretInfos`, `ListGatewayEndpoints` i `ListGatewayModelDefinitions`, co pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich sekretów, punktów końcowych i definicji modeli.

CVE-2026-10583
Średnie

Wykryto podatność bezpieczeństwa w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji Import w pliku internal/http/tts_config.go komponentu TTS Configuration Endpoint, co prowadzi do oszustwa żądań po stronie serwera.

CVE-2026-10581
Średnie

W DedeCMS w wersji 5.7.88 odkryto lukę, która dotyczy funkcji base64_decode w pliku /plus/download.php?open=1. Manipulacja argumentem Link prowadzi do ataku typu server-side request forgery (SSRF).

CVE-2026-3871
Średnie

Występuje podatność na przepełnienie bufora w poleceniu DeletePortMapping() UPnP w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS), wpływając na funkcję UPnP urządzenia.

CVE-2026-3870
Średnie

Występuje podatność na przepełnienie bufora w poleceniu UPnP AddPortMapping() w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS) wpływającego na funkcję UPnP urządzenia.

CVE-2026-3722
Średnie

Wtyczka Auto Image Attributes From Filename With Bulk Updater (Add Alt Text, Image Title For Image SEO) dla WordPressa jest podatna na przechowywane Cross-Site Scripting w metadanych załączników we wszystkich wersjach do 4.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.

CVE-2026-10568
Średnie

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /manage_payment.php. Manipulacja argumentem ID prowadzi do wstrzykiwania SQL, co może być wykorzystane zdalnie.

CVE-2026-10566
Średnie

Zidentyfikowano słabość w FoundationAgents MetaGPT do wersji 0.8.2, która dotyczy funkcji Message.check_instruct_content w pliku metagpt/schema.py. Manipulacja argumentem mapping może prowadzić do deserializacji, a atak jest ograniczony do lokalnego wykonania.

CVE-2026-10510
Średnie

W komponencie GeniexWebView aplikacji Transsion AI Assistant Lifestyle występuje podatność typu Cross-Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w kontekście WebView poprzez spreparowany parametr URL web_action_data.

CVE-2026-10100
Średnie

Wtyczka Simple Custom Login Page dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting poprzez pola ustawień kolorów w wersjach do 1.0.3 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych, co pozwala na wstrzykiwanie dowolnych reguł CSS na stronę logowania.

CVE-2026-10559
Średnie

W systemie e-commerce Pizzafy w wersji 1.0 odkryto lukę, która dotyczy nieznanej funkcji w pliku /index.php. Manipulacja argumentem 'page' może prowadzić do włączenia plików, co stwarza ryzyko zdalnego ataku.

CVE-2026-10558
Średnie

W systemie e-commerce Pizzafy 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /admin/index.php. Manipulacja argumentem 'page' prowadzi do możliwości włączenia plików. Atak można przeprowadzić zdalnie.

CVE-2026-10550
Średnie

Zidentyfikowano słabość w elunez eladmin do wersji 2.7, która dotyczy nieznanego kodu w pliku App.java modułu wdrażania aplikacji. Manipulacja argumentem uploadPath prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.

CVE-2026-10548
Średnie

Wykryto lukę bezpieczeństwa w NousResearch hermes-agent do wersji 2026.4.23, która dotyczy funkcji _sync_anthropic_entry_from_credentials_file w pliku agent/credential_pool.py. Manipulacja tą funkcją prowadzi do niewłaściwej autoryzacji.

CVE-2026-9050
Średnie

Wtyczka Slider Revolution dla WordPressa w wersjach 6.0.0-6.7.55 oraz 7.0.0-7.0.14 jest podatna na nieautoryzowaną modyfikację danych. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika do wykonania danej akcji.

CVE-2026-9048
Średnie

Wtyczka Slider Revolution dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach 7.0.0 - 7.0.14, poprzez akcję AJAX 'slider.get.full'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej, wydobycie wrażliwych danych, w tym surowych poświadczeń API mediów społecznościowych.

PoprzedniaStrona 190 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS