Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka FPW Category Thumbnails dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'id' w akcji AJAX 'fpw_fs_get_file' we wszystkich wersjach do 1.9.5 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'mode' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka WP Nano AD dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'blogrole_link' we wszystkich wersjach do 1.31 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
MLflow w wersji 3.9.0 z podstawową autoryzacją nie egzekwuje kontroli dostępu dla wielu punktów końcowych API Gateway 'list'. Słownik `BEFORE_REQUEST_HANDLERS` nie zawiera wpisów dla `ListGatewaySecretInfos`, `ListGatewayEndpoints` i `ListGatewayModelDefinitions`, co pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich sekretów, punktów końcowych i definicji modeli.
Wykryto podatność bezpieczeństwa w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji Import w pliku internal/http/tts_config.go komponentu TTS Configuration Endpoint, co prowadzi do oszustwa żądań po stronie serwera.
W DedeCMS w wersji 5.7.88 odkryto lukę, która dotyczy funkcji base64_decode w pliku /plus/download.php?open=1. Manipulacja argumentem Link prowadzi do ataku typu server-side request forgery (SSRF).
Występuje podatność na przepełnienie bufora w poleceniu DeletePortMapping() UPnP w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS), wpływając na funkcję UPnP urządzenia.
Występuje podatność na przepełnienie bufora w poleceniu UPnP AddPortMapping() w oprogramowaniu układowym Zyxel VMG4005-B50B w wersjach do 5.13(ABRL.5.4)C0. Może to pozwolić sąsiedniemu atakującemu na wywołanie tymczasowego stanu odmowy usługi (DoS) wpływającego na funkcję UPnP urządzenia.
Wtyczka Auto Image Attributes From Filename With Bulk Updater (Add Alt Text, Image Title For Image SEO) dla WordPressa jest podatna na przechowywane Cross-Site Scripting w metadanych załączników we wszystkich wersjach do 4.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do wstrzykniętej strony.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /manage_payment.php. Manipulacja argumentem ID prowadzi do wstrzykiwania SQL, co może być wykorzystane zdalnie.
Zidentyfikowano słabość w FoundationAgents MetaGPT do wersji 0.8.2, która dotyczy funkcji Message.check_instruct_content w pliku metagpt/schema.py. Manipulacja argumentem mapping może prowadzić do deserializacji, a atak jest ograniczony do lokalnego wykonania.
W komponencie GeniexWebView aplikacji Transsion AI Assistant Lifestyle występuje podatność typu Cross-Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w kontekście WebView poprzez spreparowany parametr URL web_action_data.
Wtyczka Simple Custom Login Page dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting poprzez pola ustawień kolorów w wersjach do 1.0.3 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych, co pozwala na wstrzykiwanie dowolnych reguł CSS na stronę logowania.
W systemie e-commerce Pizzafy w wersji 1.0 odkryto lukę, która dotyczy nieznanej funkcji w pliku /index.php. Manipulacja argumentem 'page' może prowadzić do włączenia plików, co stwarza ryzyko zdalnego ataku.
W systemie e-commerce Pizzafy 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /admin/index.php. Manipulacja argumentem 'page' prowadzi do możliwości włączenia plików. Atak można przeprowadzić zdalnie.
Zidentyfikowano słabość w elunez eladmin do wersji 2.7, która dotyczy nieznanego kodu w pliku App.java modułu wdrażania aplikacji. Manipulacja argumentem uploadPath prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.
Wykryto lukę bezpieczeństwa w NousResearch hermes-agent do wersji 2026.4.23, która dotyczy funkcji _sync_anthropic_entry_from_credentials_file w pliku agent/credential_pool.py. Manipulacja tą funkcją prowadzi do niewłaściwej autoryzacji.
Wtyczka Slider Revolution dla WordPressa w wersjach 6.0.0-6.7.55 oraz 7.0.0-7.0.14 jest podatna na nieautoryzowaną modyfikację danych. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika do wykonania danej akcji.
Wtyczka Slider Revolution dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach 7.0.0 - 7.0.14, poprzez akcję AJAX 'slider.get.full'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej, wydobycie wrażliwych danych, w tym surowych poświadczeń API mediów społecznościowych.

