Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.
Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na pominięcie autoryzacji. Nieuwierzytelniony atakujący może wysyłać dowolne e-maile z wstrzykniętym kodem HTML, w tym phishingowe z prawdziwym linkiem do resetowania hasła, wykorzystując serwer pocztowy witryny i jego reputację SPF/DKIM.
Wtyczka JoomSport dla WordPressa do wersji 5.7.8 zawiera podatność polegającą na pominięciu autoryzacji. Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym tworzenie dowolnych grup sezonów oraz modyfikację istniejących nazw grup, uczestników i opcji rund. Wykorzystanie podatności wymaga uzyskania nonce (joomsportajaxnonce), które jest ujawniane na stronach frontendowych renderujących shortcode JoomSport.
Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na ujawnienie wrażliwych informacji poprzez funkcję get_single_symbol. Niezautoryzowani atakujący mogą wyodrębnić pełne metadane i wyrenderowany HTML dowolnego posta kirki_symbol, włączając nieopublikowane szkice, poprzez podanie sekwencyjnego ID posta.
Wtyczka My Calendar – Accessible Event Manager dla WordPressa do wersji 3.7.14 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'vcal'. Brak walidacji klucza kontrolowanego przez użytkownika umożliwia nieuwierzytelnionym atakującym enumerację identyfikatorów zdarzeń i dostęp do pełnego eksportu iCalendar niepublicznych, szkicowych, usuniętych i prywatnych wydarzeń kalendarza.
Wtyczka Product Video Gallery dla Woocommerce do WordPressa jest podatna na przechowywany atak XSS przez parametr custom_thumbnail we wszystkich wersjach do 1.5.1.8 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku kodowania wyjścia.
W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.
W MLflow przed wersją 3.14.0, przy włączonym uwierzytelnianiu, endpointy API śledzenia (trace) nie mają odpowiednich walidatorów autoryzacji. Umożliwia to każdemu uwierzytelnionemu użytkownikowi ominięcie kontroli autoryzacji na poziomie eksperymentu dla wszystkich operacji na śladach, w tym odczytu, usuwania i modyfikacji śladów w eksperymentach, do których nie ma uprawnień. Problem wynika z procedury `_before_request`, która nie rejestruje walidatorów autoryzacji dla endpointów śledzenia, co powoduje, że żądania są przetwarzane bez weryfikacji.
Nieuwierzytelniony zdalny atakujący może wyczerpać pamięć serwera poprzez usługę FindServers Discovery w bibliotece open62541. Pole serverUris w żądaniu FindServersRequest nie jest walidowane pod kątem długości ani rozmiaru tablicy, co pozwala na deklarację dowolnie dużego ciągu znaków (do ~3,9 GB) przesyłanego w fragmentach bez wysyłania ostatniego fragmentu. Serwer buforuje wszystkie fragmenty w pamięci RAM bezterminowo, aż do czasu wygaśnięcia SecureChannel.
Wtyczka Image Optimizer dla WordPressa w wersjach do 1.7.4 zawiera podatność na usuwanie dowolnych plików. Wynika to z braku walidacji ścieżek w funkcji Image_Backup::remove(), gdzie ścieżki plików kopii zapasowych przechowywane w metadanych posta są używane bezpośrednio w operacjach usuwania bez sprawdzenia, czy znajdują się w katalogu uploads. Uwierzytelniony atakujący z dostępem na poziomie Autora może zmodyfikować pole meta image_optimizer_metadata we własnych załącznikach, wstrzykując dowolne ścieżki plików, które zostaną usunięte po skasowaniu załącznika.
Wtyczka Academy LMS dla WordPressa do wersji 3.8.1 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w punkcie końcowym REST API '/topics'. Brak weryfikacji uprawnień umożliwia nieuwierzytelnionym atakującym dostęp do szczegółowych danych kursów, w tym tych prywatnych, wersji roboczych, zaplanowanych lub chronionych hasłem.
Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].
Wtyczka GiveWP dla WordPressa jest podatna na trwałe ataki XSS poprzez parametr 'sequoia[introduction][image]' w wersjach do 4.16.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.
Wtyczka Houzez Property Feed dla WordPressa zawiera podatność na iniekcję SQL w parametrze 'orderby' we wszystkich wersjach do 2.5.46 włącznie. Problem wynika z niedostatecznego oczyszczenia danych wejściowych i braku odpowiedniego przygotowania zapytania SQL w metodzie prepare_items() klas Houzez_Property_Feed_Admin_Logs_Export_Table i Houzez_Property_Feed_Admin_Logs_Import_Table.
Wtyczka User Registration & Membership dla WordPress przed wersją 5.2.0 nie wymusza finalizacji płatności przed aktywacją płatnej subskrypcji członkowskiej. Umożliwia to niezalogowanym użytkownikom (po samodzielnej rejestracji konta przez otwarty proces rejestracji) uzyskanie aktywnej subskrypcji dowolnego płatnego planu bez płacenia i dostęp do treści chronionych.
Wtyczka Adminify dla WordPress przed wersją 4.2.10 nie sprawdza uprawnień odczytu użytkownika w jednej z funkcji wyszukiwania administracyjnego, co pozwala użytkownikom z niskimi uprawnieniami (Contributor) na ujawnienie niepublicznych treści, takich jak tytuły nieopublikowanych postów innych autorów, treści oczekujących komentarzy, inwentarz wtyczki oraz nazwy kont użytkowników.
Wtyczka Envo's Templates & Widgets dla Elementor i WooCommerce w wersji do 1.4.26 zawiera brak autoryzacji w widżecie Envo Tabs, co pozwala uwierzytelnionym atakującym z dostępem na poziomie autora na ujawnienie prywatnych treści Elementora. Poprzez podanie identyfikatora prywatnego szablonu w widżecie, atakujący może sprawić, że treść ta będzie widoczna dla anonimowych odwiedzających.
Wtyczka Email Subscribers & Newsletters dla WordPressa w wersjach do 5.9.27 włącznie zawiera podatność na ominięcie autoryzacji. Uwierzytelnieni atakujący z dostępem na poziomie współautora lub wyższym mogą nadpisywać ustawienia poczty, tworzyć listy odbiorców, dodawać kontakty, tworzyć i nadpisywać newslettery, dodawać przepływy pracy oraz wysyłać masowe e-maile do dowolnych odbiorców.
Wtyczka Fluent Forms dla WordPressa przed wersją 6.2.5 nie ogranicza prawidłowo usuwania wpisów formularzy do tych, którymi zarządza ograniczony menedżer. Pozwala to menedżerowi z ograniczeniami do konkretnych formularzy na trwałe usuwanie wpisów należących do innych formularzy. Wymaga to niestandardowej konfiguracji, w której administrator utworzył co najmniej jednego menedżera z ograniczeniami do określonych formularzy.
Wtyczka Insert Pages dla WordPressa jest podatna na trwałe ataki XSS poprzez klucze pól niestandardowych (nazwy meta kluczy) w wersjach do 3.11.4 włącznie. Podatność wynika z braku odpowiedniego escapowania klucza pola niestandardowego ($key) w funkcji the_meta(), podczas gdy wartość pola jest prawidłowo filtrowana. Atakujący z dostępem autora lub wyższym mogą wstrzykiwać dowolne skrypty webowe, które wykonają się przy wyświetleniu strony z wstawioną zawartością.

