Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2025-69132
Średnie

Wtyczka Corpkit w wersji 1.0.5 i starszych umożliwia ujawnienie wrażliwych danych subskrybenta. Podatność ta pozwala nieautoryzowanym użytkownikom na dostęp do poufnych informacji.

CVE-2025-66076
Średnie

Wtyczka Woostify Sites Library w wersji 1.6.2 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji biblioteki szablonów.

CVE-2026-54431
Średnie

W bibliotece liboauth2 weryfikator DPoP akceptuje dowód, którego nagłówek jwk zawiera klucz prywatny. Funkcja oauth2_token_verify() zwraca sukces dla nieprawidłowego dowodu DPoP z osadzonym kluczem prywatnym EC, co narusza wymagania RFC 9449.

CVE-2026-54430
Średnie

Biblioteka liboauth2 jest podatna na atak SSRF (Server-Side Request Forgery) w funkcji oauth2_jose_jwks_aws_alb_resolve(). Weryfikator AWS ALB odczytuje zarówno pole signer, jak i kid z niezweryfikowanego nagłówka JWT. Jeśli signer pasuje do skonfigurowanego ARN, wartość kid jest dołączana do alb_base_url bez kodowania URL ani sanityzacji ścieżki, a żądanie HTTP GET jest wysyłane przed weryfikacją podpisu.

CVE-2026-9188
Średnie

Wtyczka Wappointment dla WordPressa do wersji 2.7.6 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Klucz autoryzacyjny `edit_key` jest generowany jako przewidywalny, niesolony hash MD5 z sekwencyjnego identyfikatora klienta, publicznie dostępnego znacznika czasu i małego identyfikatora personelu, co pozwala nieuwierzytelnionym atakującym na obliczenie go i anulowanie lub przełożenie wizyt innych użytkowników.

CVE-2026-9145
Średnie

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa do wersji 1.5.1 zawiera podatność na dowolne kopiowanie plików. Funkcja create_entry_el() przekazuje wartość raw_value z obiektu Form_Record Elementor Pro bezpośrednio do funkcji copy() bez walidacji, co pozwala atakującemu na skopiowanie dowolnego pliku z serwera lub z zewnętrznego URL.

CVE-2026-8482
Średnie

W oprogramowaniu StormShield Network Security w wersjach od 4.3.0 do 4.3.41, od 4.8.0 do 4.8.15 oraz od 5.0.0 do 5.0.5 wykryto podatność umożliwiającą wyciek tajnych informacji podczas przekazywania poleceń administracyjnych za pomocą narzędzia CLI. Osoba posiadająca dostęp SSH do firewalla (gdy włączony jest tryb wieloużytkownika SSH) może potencjalnie uzyskać hasło proxy CA lub hasło TPM.

CVE-2026-14029
Średnie

Wtyczka Groundhogg dla WordPressa (wersje do 4.5.8) zawiera podatność na wstrzykiwanie SQL przez parametr 'select'. Uwierzytelniony atakujący z dostępem na poziomie niestandardowej roli i wyższym może dołączać dodatkowe zapytania SQL, co pozwala na wyodrębnienie wrażliwych danych z bazy.

CVE-2026-13459
Średnie

Wtyczka JetFormBuilder dla WordPressa do wersji 3.6.3 zawiera lukę w autoryzacji, umożliwiającą nieuwierzytelnionym atakującym odczyt dowolnych wartości z meta postów, w tym danych osobowych WooCommerce, sum zamówień, ścieżek załączników oraz tokenów innych wtyczek. Wykorzystanie wymaga istnienia na stronie przynajmniej jednego opublikowanego formularza z polem generatora get_from_db.

CVE-2026-13252
Średnie

Wtyczka RSS Aggregator by Feedzy dla WordPress do wersji 5.2.1 włącznie zawiera podatność na trwałe ataki XSS przez atrybut 'aspectRatio'. Brak odpowiedniej sanitizacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym dostępie do zainfekowanej strony.

CVE-2026-12657
Średnie

Wtyczka LatePoint do WordPressa do wersji 5.6.2 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'service_id'. Brak walidacji kontrolowanego przez użytkownika klucza umożliwia nieuwierzytelnionym atakującym tworzenie zatwierdzonych rezerwacji na usługi przeznaczone wyłącznie dla administratorów i agentów.

CVE-2026-12472
Średnie

Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na pominięcie autoryzacji. Nieuwierzytelniony atakujący może wysyłać dowolne e-maile z wstrzykniętym kodem HTML, w tym phishingowe z prawdziwym linkiem do resetowania hasła, wykorzystując serwer pocztowy witryny i jego reputację SPF/DKIM.

CVE-2026-12134
Średnie

Wtyczka JoomSport dla WordPressa do wersji 5.7.8 zawiera podatność polegającą na pominięciu autoryzacji. Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym tworzenie dowolnych grup sezonów oraz modyfikację istniejących nazw grup, uczestników i opcji rund. Wykorzystanie podatności wymaga uzyskania nonce (joomsportajaxnonce), które jest ujawniane na stronach frontendowych renderujących shortcode JoomSport.

CVE-2026-12122
Średnie

Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na ujawnienie wrażliwych informacji poprzez funkcję get_single_symbol. Niezautoryzowani atakujący mogą wyodrębnić pełne metadane i wyrenderowany HTML dowolnego posta kirki_symbol, włączając nieopublikowane szkice, poprzez podanie sekwencyjnego ID posta.

CVE-2026-11896
Średnie

Wtyczka My Calendar – Accessible Event Manager dla WordPressa do wersji 3.7.14 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez parametr 'vcal'. Brak walidacji klucza kontrolowanego przez użytkownika umożliwia nieuwierzytelnionym atakującym enumerację identyfikatorów zdarzeń i dostęp do pełnego eksportu iCalendar niepublicznych, szkicowych, usuniętych i prywatnych wydarzeń kalendarza.

CVE-2026-10104
Średnie

Wtyczka Product Video Gallery dla Woocommerce do WordPressa jest podatna na przechowywany atak XSS przez parametr custom_thumbnail we wszystkich wersjach do 1.5.1.8 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku kodowania wyjścia.

CVE-2026-5348
Średnie

Wtyczka Academy LMS dla WordPressa do wersji 3.8.1 zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w punkcie końcowym REST API '/topics'. Brak weryfikacji uprawnień umożliwia nieuwierzytelnionym atakującym dostęp do szczegółowych danych kursów, w tym tych prywatnych, wersji roboczych, zaplanowanych lub chronionych hasłem.

CVE-2026-13704
Średnie

Wtyczka GiveWP dla WordPressa jest podatna na trwałe ataki XSS poprzez parametr 'sequoia[introduction][image]' w wersjach do 4.16.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i wyjściowych.

CVE-2026-13357
Średnie

Wtyczka Houzez Property Feed dla WordPressa zawiera podatność na iniekcję SQL w parametrze 'orderby' we wszystkich wersjach do 2.5.46 włącznie. Problem wynika z niedostatecznego oczyszczenia danych wejściowych i braku odpowiedniego przygotowania zapytania SQL w metodzie prepare_items() klas Houzez_Property_Feed_Admin_Logs_Export_Table i Houzez_Property_Feed_Admin_Logs_Import_Table.

CVE-2026-11965
Średnie

Wtyczka User Registration & Membership dla WordPress przed wersją 5.2.0 nie wymusza finalizacji płatności przed aktywacją płatnej subskrypcji członkowskiej. Umożliwia to niezalogowanym użytkownikom (po samodzielnej rejestracji konta przez otwarty proces rejestracji) uzyskanie aktywnej subskrypcji dowolnego płatnego planu bez płacenia i dostęp do treści chronionych.

PoprzedniaStrona 7 z 489Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS