Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka Integracja dla Google Sheets oraz Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.1.1 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.
Wtyczka Integracja dla Pipedrive i Contact Form 7, WPForms, Elementor, Ninja Forms dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 1.2.3 poprzez deserializację nieufnych danych wejściowych w funkcji verify_field_val(). Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wtyczka LoginPress Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 5.0.1 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Wtyczka Articles Calendar w wersjach 1.0.0 - 1.0.1.0007 dla Joomla zawiera podatność na wstrzykiwanie SQL, która pozwala atakującym na wykonywanie dowolnych poleceń SQL.
Wtyczka Articles Good Search w wersjach 1.0.0 - 1.2.4.0011 dla Joomla zawiera podatność na wstrzykiwanie SQL, co pozwala atakującym na wykonywanie dowolnych poleceń SQL.
Wtyczka Attachment Manager dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji handle_actions() we wszystkich wersjach do 2.1.2 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Motyw WooCommerce Refund And Exchange with RMA - Warranty Management, Refund Policy, Manage User Wallet dla WordPress jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'ced_rnx_order_exchange_attach_files' we wszystkich wersjach do 3.2.6 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Leviton AcquiSuite i Energy Monitoring Hub są podatne na atak typu cross-site scripting, co pozwala napastnikowi na stworzenie złośliwego ładunku w parametrach URL. Po dostępie przez użytkownika, ładunek ten może zostać wykonany w przeglądarce klienta, co prowadzi do kradzieży tokenów sesji i przejęcia kontroli nad usługą.
Brocade ASCG w wersjach przed 3.3.0 umożliwia użycie algorytmów kryptograficznych o średniej sile na portach wewnętrznych 9000 i 8036.
Brocade ASCG przed wersją 3.3.0 rejestruje JSON Web Tokens (JWT) w plikach dziennika. Atakujący z dostępem do tych plików może uzyskać niezaszyfrowane tokeny, co stwarza poważne zagrożenia dla bezpieczeństwa.
NVIDIA Container Toolkit dla wszystkich platform zawiera podatność w niektórych hookach używanych do inicjalizacji kontenera, która pozwala atakującemu na wykonanie dowolnego kodu z podwyższonymi uprawnieniami. Udany atak może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji oraz odmowy usługi.
Livewire to pełnostackowy framework dla Laravel. W wersjach Livewire v3 do v3.6.3 występuje podatność, która pozwala nieautoryzowanym atakującym na zdalne wykonanie poleceń w określonych scenariuszach, związana z aktualizacjami właściwości komponentów.
W wersji nbcio-boot v1.0.3 odkryto podatność na wstrzykiwanie SQL poprzez parametr userIds w ścieżce /sys/user/deleteRecycleBin.
Podatność w Island Lake WebBatch przed wersją 2025C umożliwia zdalne wykonanie kodu poprzez spreparowany URL. Atakujący może wysłać specjalnie skonstruowane żądanie HTTP, co prowadzi do wykonania dowolnego kodu na serwerze.
W Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 występuje podatność na wstrzykiwanie SQL (SQL Injection), która pozwala nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez odpowiednio skonstruowane żądania HTTP lub HTTPS.
Wtyczka Madara - Core dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji wp_manga_delete_zip() we wszystkich wersjach do 2.2.3 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Wtyczka Bears Backup dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.0.0. Problem wynika z braku sprawdzenia uprawnień w funkcji bbackup_ajax_handle() oraz niewalidowania danych wejściowych dostarczonych przez użytkownika, co umożliwia nieautoryzowanym atakującym wykonanie kodu na serwerze.
W podatności CVE-2025-52836 występuje błędne przypisanie uprawnień w systemie E-Commerce ERP firmy Unity Business Technology Pty Ltd, co umożliwia eskalację uprawnień. Problem dotyczy wersji E-Commerce ERP od n/a do 2.1.1.3 włącznie.
W podatności CVE-2025-52714 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Traveler. Problem dotyczy wersji Traveler od n/a do poniżej 3.2.2.
Podatność CVE-2025-48300 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Groundhogg, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Groundhogg od n/a do 4.2.1.

