Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-41123
Średnie

W systemie Dell PowerProtect Data Domain w wersjach od 7.7.1.0 do 8.6 oraz w wydaniach LTS2026, LTS2025 i LTS2024 wykryto podatność związaną z nieprawidłową kontrolą dostępu w mechanizmie RBAC. Niskouprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do manipulacji informacjami.

CVE-2026-26355
Średnie

Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.

CVE-2026-5137
Średnie

Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.

CVE-2026-4322
Średnie

Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.

CVE-2026-9756
Średnie

Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka przez atrybut linku dynamicznego 'linkMetaFieldType' w wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-4804
Średnie

Motyw Zakra dla WordPressa do wersji 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w rejestracji pól meta (zakra_menu_item_color, zakra_menu_item_hover_color, zakra_menu_item_active_color) przez REST API pozwala atakującym z dostępem na poziomie Współautora i wyższym na wstrzyknięcie złośliwego skryptu, który wykonuje się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-35159
Średnie

Podatność w BIOS-ie platform Dell Client umożliwia ominięcie uwierzytelniania przez słabość pierwotną. Nieuwierzytelniony atakujący z fizycznym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do ujawnienia informacji.

CVE-2026-11900
Średnie

Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPressa do wersji 2.8.16 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez atrybut 'data' shortcodu [adinserter]. Funkcja replace_ai_tags() przetwarza wzór {reusable-block-N} i wywołuje get_post_field('post_content', N) bez weryfikacji uprawnień użytkownika, bez ograniczenia typu posta do 'wp_block' i bez sprawdzania statusu posta. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym odczytanie pełnej treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, usuniętych i chronionych hasłem, należących do innych użytkowników, poprzez umieszczenie shortcodu we własnym poście i jego podgląd.

CVE-2026-11778
Średnie

Wtyczka CURCY – Multi Currency for WooCommerce dla WordPressa w wersjach do 2.2.14 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnych shortcode'ów. Problem wynika z braku walidacji wartości przed przekazaniem jej do funkcji do_shortcode.

CVE-2026-11398
Średnie

Wtyczka LatePoint do WordPressa, w wersjach do 5.6.1 włącznie, zawiera podatność na ominięcie autoryzacji. Niezautoryzowany atakujący może modyfikować dane osobowe (imię, nazwisko, numer telefonu i notatki) istniejących klientów, w tym kont administratorów, poprzez przesłanie formularza rezerwacji ze znanym adresem e-mail. Warunkiem jest włączenie opcji rezerwacji dla gości.

CVE-2026-9230
Średnie

Wtyczka Quiz and Survey Master (QSM) dla WordPressa do wersji 11.1.4 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelniony atakujący z dostępem na poziomie współautora lub wyższym może modyfikować quizy, nadpisywać strony wyników oraz przekierowywać powiadomienia e-mail na kontrolowane przez siebie adresy.

CVE-2026-8804
Średnie

Podatność w Puppet resource_api (dostarczanym z Puppet Core 8.x oraz Puppet Enterprise 2023.8.x i 2025.x) powoduje, że flaga wrażliwości (sensitive) nie jest zachowywana dla parametrów zdefiniowanych przez resource-api. W rezultacie wartości takie jak hasła są przechowywane w postaci jawnego tekstu w lokalnym cache'u transakcji agenta.

CVE-2026-8351
Średnie

Wtyczka RTMKit dla WordPressa do wersji 2.0.7 zawiera podatność na trwałe ataki XSS w widżecie Advanced Heading. Wynika to z braku odpowiedniego kodowania wyjścia parametru 'Background Text' w funkcji render(), co pozwala uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym na wstrzykiwanie dowolnych skryptów.

CVE-2026-47898
Średnie

Podatność w Apache Lucene.Net (Lucene.Net.Analysis.Common) pozwala na atak XML External Entity (XXE). Luka występuje w wersjach od 4.8.0-beta00005 do 4.8.0-beta00017.

CVE-2026-9626
Średnie

Wtyczka JSON API User dla WordPressa do wersji 4.1.0 włącznie zawiera podatność na trwałe ataki XSS przez parametr 'content' w punkcie końcowym API post_comment. Funkcja post_comment() nie oczyszcza dostatecznie danych wejściowych, co pozwala uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym na wstrzyknięcie dowolnego kodu JavaScript.

CVE-2026-9180
Średnie

Wtyczka MotoPress Appointment Booking dla WordPress do wersji 2.4.4 zawiera podatność polegającą na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz. Niezautoryzowani atakujący mogą nadpisać dane klienta (imię, nazwisko, adres e-mail, numer telefonu) w niepotwierdzonych rezerwacjach, wykorzystując publicznie dostępny endpoint REST.

CVE-2026-8892
Średnie

Wtyczka CM Business Directory dla WordPressa do wersji 1.5.7 zawiera podatność na trwałe ataki XSS przez pola meta adresu firmy. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdej wizycie na zainfekowanej stronie.

CVE-2026-8489
Średnie

Wtyczka Ultimate Member dla WordPressa zawiera podatność na przechowywany atak XSS poprzez parametr 'about_me' w wersjach do 2.11.4 włącznie. Problem wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-12557
Średnie

Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.29 włącznie zawiera podatność polegającą na pominięciu autoryzacji. Nieuwierzytelnieni atakujący mogą odczytać wszystkie wpisy dziennika debugowania przechowywane w tabeli wp_nf3_log lub trwale usunąć wszystkie wiersze z tej tabeli.

CVE-2026-11397
Średnie

Wtyczka WP Import Export Lite dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 3.9.30 włącznie. Podatność występuje w akcji AJAX wpie_import_upload_file_from_url, gdzie po nieudanym wywołaniu wp_safe_remote_get() (które blokuje prywatne adresy IP) następuje wywołanie GuzzleHttp\Client::request() bez ochrony SSRF i z wyłączoną weryfikacją TLS. Umożliwia to uwierzytelnionym atakującym z dostępem administratora wysyłanie żądań do dowolnych lokalizacji, w tym do wewnętrznych usług, takich jak endpoint metadanych chmury.

PoprzedniaStrona 3 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS