Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby. Wywołanie metody Document#encoding= z nieprawidłowym kodowaniem (np. niebędącym ciągiem znaków lub zawierającym bajt null) powoduje zwolnienie pamięci przechowującej bieżące kodowanie dokumentu bez jej zastąpienia. Kolejne odwołanie do Document#encoding odczytuje zwolnioną pamięć, co może prowadzić do błędu segfault lub wycieku danych do obiektu String w Ruby. Problem dotyczy tylko implementacji CRuby (libxml2); JRuby nie jest zagrożony.
Podatność w bibliotece Nokogiri dla języka Ruby umożliwia odczyt poza zakresem pamięci przez metodę Nokogiri::XML::NodeSet#[] (oraz jej alias #slice). Problem wynika z błędnego sprawdzania zakresu indeksu, który jest obcinany do 32 bitów przed walidacją, co pozwala na użycie bardzo dużego ujemnego indeksu i odczyt poza przydzieloną pamięcią. Na CRuby prowadzi to do awarii procesu, a na JRuby do zwrócenia nieprawidłowego węzła.
Dell Display and Peripheral Manager (DDPM Mac) w wersjach przed 2.3 zawiera podatność na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wykonania poleceń przez atakującego z niskimi uprawnieniami.
Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.
W wersjach Forminator do 1.53.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach JS Help Desk do 3.1.1 występuje podatność, która pozwala subskrybentom na dowolne usuwanie plików.
Podatność typu PHP Object Injection wtyczki EventPrime w wersjach do 4.3.4.1 umożliwia subskrybentom wstrzyknięcie złośliwych obiektów PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.
Wtyczka TablePress dla WordPressa w wersji 3.3.1 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wersje Post Snippets do 4.0.19 zawierają podatność na zdalne wykonanie kodu (RCE), co może umożliwić atakującym uruchomienie nieautoryzowanego kodu na serwerze.
W wersjach Advanced Order Export For WooCommerce do 4.0.9 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez atakujących do wstrzykiwania złośliwego kodu.
Wtyczka Master Slider w wersjach do 3.11.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
W wersjach H5P do 1.17.6 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
Wtyczka WP Activity Log w wersjach do 5.6.3.1 zawiera podatność typu Cross Site Scripting (XSS), która może być wykorzystana przez subskrybentów.
Podatność w APIExperts Square dla WooCommerce pozwala na wstrzyknięcie wrażliwych informacji do wysyłanych danych, co umożliwia ich późniejsze odzyskanie.
Podatność umożliwia nieuwierzytelnionemu atakującemu wczytanie dowolnego pliku lokalnego na serwerze wtyczki MDTF w wersjach do 1.3.8 włącznie.
Wtyczka CheckView Automated Testing w wersji 2.1.0 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym złamanie kontroli dostępu. Podatność pozwala na nieautoryzowany dostęp do funkcji testowania bez wymaganego uwierzytelnienia.
Brak autoryzacji w wtyczkach Royal MCP umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji Royal MCP od n/a do 1.4.25.
W wersjach Vitepos do 3.4.2 występuje podatność na nieautoryzowany dostęp do wrażliwych danych.
Wersje WC Vendors Marketplace do 2.6.8 zawierają podatność na atak typu SQL Injection, który może być wykorzystany przez subskrybentów.
Wtyczka Five Star Restaurant Reservations w wersji 2.7.19 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji rezerwacji bez wymaganego uwierzytelnienia.

