Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność SQL Injection wtyczki WP All Import w wersjach do 4.0.1 umożliwia administratorowi wstrzyknięcie złośliwego kodu SQL do bazy danych.
Dodatek ViewState dla Zed Attack Proxy (ZAP) przed wersją 4 zawiera podatność na niezabezpieczoną deserializację, która umożliwia atakującym kontrolującym serwer proxy osiągnięcie zdalnego wykonania kodu poprzez osadzenie złośliwego, serializowanego obiektu Java w parametrze odpowiedzi HTTP javax.faces.ViewState. Metoda JSFViewState.decode() dekoduje wartość ViewState z base64 i przekazuje ją bezpośrednio do ObjectInputStream.readObject() bez filtra deserializacji, listy dozwolonych typów ani ograniczeń, co powoduje deserializację złośliwego obiektu w JVM ZAP podczas renderowania panelu ViewState w interfejsie Desktop UI.
Podatność umożliwia nieuwierzytelnionemu atakującemu wstrzyknięcie złośliwego skryptu (XSS) w aplikacji NanoMag w wersji 1.8 i starszych. Atak może zostać przeprowadzony bez konieczności logowania, co zwiększa ryzyko dla użytkowników.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS wtyczki weMail w wersjach do 2.1.2 włącznie.
Wtyczka H5P w wersji 1.17.7 i starszych zawiera podatność umożliwiającą współtwórcy (contributor) usunięcie dowolnego pliku na serwerze. Luka wynika z braku odpowiedniej walidacji uprawnień podczas operacji usuwania plików.
W systemie FOX w wersji 1.4.8 i starszych występuje podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Umożliwia ona zdalnemu atakującemu wstrzyknięcie złośliwego skryptu bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS we wtyczce Simply Schedule Appointments w wersjach do 1.6.12.2 włącznie.
Podatność umożliwia zdalne wykonanie kodu (RCE) wtyczki Blocksy Companion Pro w wersjach do 2.1.45. Atakujący może wykorzystać tę lukę do przejęcia kontroli nad serwerem.
Wtyczka SureCart w wersji 4.3.2 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w wtyczce Everest Forms w wersjach do 3.4.8 włącznie.
W kontrolerze REST API v2 aplikacji Teable brakuje adnotacji @Permissions na punktach końcowych ORPC, co pozwala każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji. Atakujący mogą odczytywać schematy tabel, tworzyć tabele oraz modyfikować lub usuwać rekordy w różnych bazach i tabelach za pomocą punktów końcowych takich jak GET /api/v2/tables/get i POST /api/v2/tables/updateRecords.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w motywie WoodMart w wersjach do 8.5.3 włącznie. Atak może być przeprowadzony bez konieczności logowania.
Podatność IDOR (Insecure Direct Object Reference) w wtyczce Toolset Forms w wersjach do 2.6.24 umożliwia nieuwierzytelnionemu atakującemu dostęp do nieautoryzowanych danych poprzez manipulację identyfikatorem obiektu.
Podatność SQL Injection wtyczki Tourfic w wersjach do 2.22.5 umożliwia subskrybentowi wstrzyknięcie złośliwego kodu SQL do zapytań bazy danych.
Podatność w wtyczce MailChimp Block w wersjach do 1.1.15 umożliwia nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Może to prowadzić do nieautoryzowanego dostępu do funkcji lub danych.
Wtyczka Subscriptions for WooCommerce w wersji 1.9.5 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowane operacje na subskrypcjach bez wymaganego uwierzytelnienia.
Wtyczka Print Invoice & Delivery Notes for WooCommerce w wersji 7.1.1 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Podatność ta wynika z braku odpowiedniej autoryzacji, co pozwala na ujawnienie poufnych informacji bez konieczności logowania.
Podatność typu PHP Object Injection w wtyczce RealHomes w wersjach do 4.5.3 umożliwia atakującemu z rolą subskrybenta wstrzyknięcie złośliwego obiektu PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.
Wtyczka Perfmatters w wersji 2.6.3 i starszych zawiera podatność na nieuwierzytelniony atak Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów XSS w wersjach wtyczki Automatic starszych niż 3.135.1.

