Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8688
Średnie

Wtyczka Advance Nav Menu Manager dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do i włącznie z 1.3. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

CVE-2026-8628
Średnie

Wtyczka EntreDroppers dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr PHP_SELF we wszystkich wersjach do i włącznie z 1.1.2 z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący może wstrzyknąć dowolne skrypty webowe, jeśli uda mu się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.

CVE-2026-8622
Średnie

Wtyczka Image Sizes on Demand dla WordPressa do wersji 1.3 włącznie jest podatna na odbite ataki Cross-Site Scripting (XSS) poprzez zmienną serwera PHP_SELF. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-8617
Średnie

Wtyczka SearchPlus dla WordPressa jest podatna na nieautoryzowaną modyfikację i usunięcie danych w wersjach do 1.7.1 włącznie. Problem wynika z braku weryfikacji uprawnień oraz braku walidacji nonce w funkcjach searchplus_save_token_action_callback() i searchplus_reset_token_action_callback().

CVE-2026-8614
Średnie

Wtyczka Assistio dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku weryfikacji uprawnień oraz braku weryfikacji nonce w funkcji assistio_plugin_delete_assistio_settings() w wersjach do 1.1.2 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, usunięcie opcji wtyczki, w tym krytycznej opcji 'assistiobot_oauth_settings'.

CVE-2026-7617
Średnie

Wtyczka Secufor_OAuth dla WordPressa jest podatna na nieautoryzowany dostęp we wszystkich wersjach do i włącznie z 1.0.7. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

CVE-2026-6292
Średnie

Wtyczka MP Customize Login Page dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.0 włącznie. Problem wynika z błędnej walidacji nonce w funkcji enter_mpclp_login_options(), co pozwala na modyfikację ustawień wtyczki przez nieautoryzowanych atakujących.

CVE-2026-12094
Średnie

Wtyczka Advanced Contact Form 7 - Compact DB dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku weryfikacji uprawnień w funkcji cf7cdb_ajax_delete_user() w wersjach do 1.0.0 włącznie. Funkcja ta nie sprawdza nonce, uprawnień ani własności przed usunięciem danych z tabeli wp_cf7cdb_data.

CVE-2026-11997
Średnie

Wtyczka Bulk SEO Image dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 1.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce na stronie ustawień wtyczki, co pozwala na masowe nadpisywanie metadanych ALT obrazów przez nieautoryzowanych atakujących.

CVE-2026-11370
Średnie

Wtyczka WP Meta SEO dla WordPressa jest podatna na fałszowanie żądań po stronie serwera (SSRF) we wszystkich wersjach do 4.5.18 włącznie, poprzez parametr 'new_link'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wysyłanie żądań HTTP do dowolnych lokalizacji z poziomu aplikacji, co może być wykorzystane do odpytywania i modyfikowania informacji z wewnętrznych usług.

CVE-2026-10552
Średnie

Wtyczka Blue Captcha dla WordPressa jest podatna na atak Cross-Site Request Forgery w wersjach do 2.0.1 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w głównym panelu administracyjnym oraz na podstronach, co pozwala na wykonywanie destrukcyjnych operacji przez nieautoryzowanych atakujących.

CVE-2026-10531
Średnie

Wtyczka AI Share & Summarize dla WordPressa przed wersją 2.0.4 nie oczyszcza i nie koduje niektórych atrybutów shortcode'ów przed wyświetleniem ich na stronie, co umożliwia użytkownikom z rolą Współautora i wyższym przeprowadzenie ataków typu Stored Cross-Site Scripting (XSS).

CVE-2026-9539
Średnie

W bibliotece libslirp przed wersją v4.9.2 występuje podatność związana z odczytem pamięci poza zakresem oraz niedoborem całkowitym w obsłudze danych pilnych TCP. Atakujący z uprawnieniami gościa VM może wyciekować wrażliwe dane z pamięci hosta.

CVE-2026-12488
Średnie

W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.

CVE-2026-11614
Średnie

Wtyczka Xpro Addons — 140+ Widgetów dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'custom_attributes' we wszystkich wersjach do 1.7.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-6458
Średnie

Brakujący krok kryptograficzny w oprogramowaniu układowym Caliptra Core prowadzi do nieprawidłowego tagu uwierzytelniającego GCM. Użycie API AES-256-GCM ze pustym AAD skutkuje tym, że stan akumulatora GHASH nie jest zapisywany po pierwszym wywołaniu aktualizacji, co powoduje, że końcowy tag nie uwzględnia pierwszej partii przetworzonego szyfrogramu.

CVE-2026-48493
Średnie

W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.

CVE-2026-47693
Średnie

Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).

CVE-2026-12164
Średnie

Podatność w Fortra File Integrity Monitoring (dawniej Tripwire Enterprise) przed wersją 9.4.0 może powodować przypisanie nieprawidłowych lub podwyższonych uprawnień użytkownikom utworzonym za pomocą polecenia tetool import podczas działania FIM, szczególnie gdy import tworzy lub zmienia role lub relacje rola-uprawnienie.

CVE-2026-12163
Średnie

W systemie Fortra File Integrity Monitoring (FIM), dawniej Tripwire Enterprise, w wersjach przed 9.4.0.1 wykryto podatność na trwały atak XSS w komponencie Asset View UI. Uwierzytelniony użytkownik z odpowiednimi uprawnieniami może przechowywać złośliwy skrypt w polach konfiguracyjnych węzłów lub baz danych, który zostanie wykonany w przeglądarce innego administratora.

PoprzedniaStrona 69 z 538Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS