Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Advance Nav Menu Manager dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 1.3. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Wtyczka EntreDroppers dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr PHP_SELF we wszystkich wersjach do i włącznie z 1.1.2 z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący może wstrzyknąć dowolne skrypty webowe, jeśli uda mu się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Wtyczka Image Sizes on Demand dla WordPressa do wersji 1.3 włącznie jest podatna na odbite ataki Cross-Site Scripting (XSS) poprzez zmienną serwera PHP_SELF. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Wtyczka SearchPlus dla WordPressa jest podatna na nieautoryzowaną modyfikację i usunięcie danych w wersjach do 1.7.1 włącznie. Problem wynika z braku weryfikacji uprawnień oraz braku walidacji nonce w funkcjach searchplus_save_token_action_callback() i searchplus_reset_token_action_callback().
Wtyczka Assistio dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku weryfikacji uprawnień oraz braku weryfikacji nonce w funkcji assistio_plugin_delete_assistio_settings() w wersjach do 1.1.2 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, usunięcie opcji wtyczki, w tym krytycznej opcji 'assistiobot_oauth_settings'.
Wtyczka Secufor_OAuth dla WordPressa jest podatna na nieautoryzowany dostęp we wszystkich wersjach do i włącznie z 1.0.7. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Wtyczka MP Customize Login Page dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.0 włącznie. Problem wynika z błędnej walidacji nonce w funkcji enter_mpclp_login_options(), co pozwala na modyfikację ustawień wtyczki przez nieautoryzowanych atakujących.
Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.
Wtyczka Bulk SEO Image dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie ustawień wtyczki, co pozwala na masowe nadpisywanie metadanych ALT obrazów przez nieautoryzowanych atakujących.
Wtyczka WP Meta SEO dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 4.5.18 włącznie, poprzez parametr 'new_link'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wysyłanie żądań HTTP do dowolnych lokalizacji z poziomu aplikacji, co może być wykorzystane do odpytywania i modyfikowania informacji z wewnętrznych usług.
Wtyczka Blue Captcha dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 2.0.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w głównym panelu administracyjnym oraz na podstronach, co pozwala na wykonywanie destrukcyjnych operacji przez nieautoryzowanych atakujących.
Wtyczka AI Share & Summarize dla WordPressa przed wersją 2.0.4 nie oczyszcza i nie koduje niektórych atrybutów shortcode'ów przed wyświetleniem ich na stronie, co umożliwia użytkownikom z rolą Współautora i wyższym przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS).
W bibliotece libslirp przed wersją v4.9.2 występuje podatność związana z odczytem pamięci poza zakresem oraz niedoborem całkowitym w obsłudze danych pilnych TCP. Atakujący z uprawnieniami gościa VM może wyciekować wrażliwe dane z pamięci hosta.
W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.
Wtyczka Xpro Addons — 140+ Widgetów dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'custom_attributes' we wszystkich wersjach do 1.7.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Brakujący krok kryptograficzny w oprogramowaniu układowym Caliptra Core prowadzi do nieprawidłowego tagu uwierzytelniającego GCM. Użycie API AES-256-GCM ze pustym AAD skutkuje tym, że stan akumulatora GHASH nie jest zapisywany po pierwszym wywołaniu aktualizacji, co powoduje, że końcowy tag nie uwzględnia pierwszej partii przetworzonego szyfrogramu.
W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.
Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).
Podatność w Fortra File Integrity Monitoring (dawniej Tripwire Enterprise) przed wersją 9.4.0 może powodować przypisanie nieprawidłowych lub podwyższonych uprawnień użytkownikom utworzonym za pomocą polecenia tetool import podczas działania FIM, szczególnie gdy import tworzy lub zmienia role lub relacje rola-uprawnienie.
W systemie Fortra File Integrity Monitoring (FIM), dawniej Tripwire Enterprise, w wersjach przed 9.4.0.1 wykryto podatność na trwały atak XSS w komponencie Asset View UI. Uwierzytelniony użytkownik z odpowiednimi uprawnieniami może przechowywać złośliwy skrypt w polach konfiguracyjnych węzłów lub baz danych, który zostanie wykonany w przeglądarce innego administratora.

