Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2025-66123
Średnie

Podatność typu Insecure Direct Object References (IDOR) w wtyczce BookPro w wersji 1.1.0 i starszych umożliwia nieuwierzytelnionemu atakującemu dostęp do zasobów, do których nie powinien mieć uprawnień. Problem wynika z braku weryfikacji uprawnień przy bezpośrednim odwoływaniu się do obiektów.

CVE-2025-64637
Średnie

W wersjach Auros Core do 5.3.1 włącznie istnieje podatność umożliwiająca niezautoryzowane wstrzykiwanie treści. Atakujący bez uwierzytelnienia może modyfikować zawartość aplikacji.

CVE-2025-64636
Średnie

Wtyczka Donation Thermometer w wersjach do 2.2.7 zawiera podatność na nieuwierzytelniony, uszkodzony mechanizm kontroli dostępu. Osoba atakująca bez uwierzytelnienia może uzyskać nieautoryzowany dostęp do funkcji wtyczki.

CVE-2025-63079
Średnie

Wtyczka Live Copy Paste dla Elementor w wersji 1.5.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Umożliwia to użytkownikom z rolą współautora wykonanie nieautoryzowanych działań.

CVE-2025-63078
Średnie

Wtyczka Restaurant Menu by MotoPress w wersji 2.4.11 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybentów. Użytkownicy z rolą subskrybenta mogą uzyskać nieautoryzowany dostęp do funkcji zarządzania menu restauracji.

CVE-2025-63041
Średnie

Wtyczka Forget About Shortcode Buttons w wersji 2.1.3 i niższych zawiera podatność polegającą na nieprawidłowej kontroli dostępu dla współautorów. Osoba z rolą współautora może uzyskać nieautoryzowany dostęp do funkcji, które powinny być zarezerwowane dla wyższych ról.

CVE-2026-57925
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto lukę w kontroli dostępu, która umożliwiała odczytanie zapisanych zapytań i tagów przez nieuprawnionych użytkowników.

CVE-2026-57924
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 domyślna konfiguracja roli ujawniała nadmierne szczegóły profilu użytkownika.

CVE-2026-57923
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej autoryzacji w punkcie końcowym konfiguracji aplikacji. Umożliwiała ona nieuprawnioną modyfikację ustawień projektu.

CVE-2026-57921
Średnie

W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej kontroli dostępu. Umożliwiała ona odczyt prywatnych danych użytkowników za pośrednictwem punktu końcowego szablonów komentarzy.

CVE-2026-53914
Średnie

W JetBrains Kotlin przed wersją 2.4.20 wykryto podatność umożliwiającą wykonanie kodu poprzez niebezpieczną deserializację w metadanych pamięci podręcznej kompilacji (build cache metadata).

CVE-2026-13426
Średnie

Moduł Go Mattermosta github.com/mattermost/mattermost/server/public w wersjach starszych niż v0.1.22 nie waliduje parametrów ścieżki podczas konstruowania tras API. Umożliwia to atakującemu przekierowanie wywołań API do nieprzewidzianych punktów końcowych za pomocą spreparowanych identyfikatorów zawierających komponenty typu path traversal.

CVE-2026-57914
Średnie

Wysłanie głęboko zagnieżdżonej struktury ASN1 do klienta lub usługi Apache Kerby może spowodować wyjątek StackOverFlow, prowadzący do odmowy usługi (DoS).

CVE-2026-57620
Średnie

Wtyczka Exclusive Addons Elementor dla WordPressa zawiera podatność na trwały atak XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Luka występuje we wszystkich wersjach do 2.7.9.8 włącznie.

CVE-2026-57473
Średnie

Podatność w usługach netclient i factory w Reolink Home Hub (wersje przed v3.3.0.456_26031911) umożliwia atak brute-force na poświadczenia. Atakujący w tej samej sieci lokalnej może przechwycić ruch między Hubem a kamerami i skompromitować ich dane logowania.

CVE-2026-6658
Średnie

Podatność w jupyter/nbconvert w wersjach do 7.17.0 umożliwia atak typu Cross-site Scripting (XSS) przez niesanitowane dane wyjściowe `text/vnd.mermaid` w eksporcie HTML. Blok `data_mermaid` w szablonie `share/templates/lab/base.html.j2` renderuje zawartość komórki `text/vnd.mermaid` bezpośrednio do HTML bez odpowiedniego escapingu, co pozwala atakującemu na wstrzyknięcie dowolnego kodu HTML/JavaScript poprzez wyjście poza znacznik `<pre>`.

CVE-2026-1869
Średnie

Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.

CVE-2026-8380
Średnie

Wtyczka Frontend File Manager dla WordPress do wersji 23.6 nie weryfikuje poprawnie własności docelowych wpisów przed ich trwałym usunięciem, co pozwala uwierzytelnionym użytkownikom z poziomem autora i wyższym na trwałe usuwanie dowolnych wpisów i stron. Gdy administrator włączy opcję „Allow guest uploads”, ta sama luka staje się dostępna dla nieuwierzytelnionych użytkowników.

CVE-2025-10268
Średnie

Wtyczka Printcart Web to Print Product Designer dla WooCommerce do wersji 2.4.8 zawiera podatność na path traversal, umożliwiającą atakującemu odczytanie listy plików w dowolnych katalogach na serwerze.

CVE-2026-8661
Średnie

Podatność typu Server-Side Cross-Site Scripting (XSS) i Server-Side Request Forgery (SSRF) w akcji markdown_to_pdf wtyczki Markdown dla InsightConnect firmy Rapid7 w wersji 3.1.4 i wcześniejszych na systemie Linux. Zdalny atakujący może wykonać JavaScript po stronie serwera oraz wysyłać dowolne żądania HTTP na zewnątrz poprzez spreparowaną treść osadzoną w danych wejściowych Markdown. Silnik renderowania PDF nie ogranicza wykonywania skryptów ani dostępu do sieci zewnętrznej.

PoprzedniaStrona 38 z 519Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS