Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Advanced Import dla WordPressa jest podatna na atak typu Server-Side Request Forgery (SSRF) w wersjach do 1.4.6 włącznie. Problem wynika z braku walidacji adresu URL dostarczonego przez użytkownika w funkcji demo_download_and_unzip(), co pozwala na wysyłanie żądań do wewnętrznych zasobów sieciowych.
Wtyczka Appointment Booking Calendar dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez niestandardowe etykiety pól rezerwacji we wszystkich wersjach do 1.4.4 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wersje pakietu ts-deepmerge przed 8.0.0 są podatne na nieobsłużony wyjątek z powodu niewłaściwego przetwarzania wbudowanych metod Object.prototype (takich jak toString, valueOf). Gdy dane wejściowe kontrolowane przez użytkownika zawierają te klucze z wartościami, które nie są funkcjami, wynikowy obiekt scalony staje się uszkodzony, co prowadzi do błędów typu TypeError.
Wtyczka Blocksy Companion dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 2.1.45 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka BetterDocs dla WordPressa jest podatna na atak typu Stored Cross-Site Scripting poprzez atrybut blockId bloku Gutenberg w wersjach do 4.5.3. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia w metodzie CategorySlateLayout::render().
Wtyczka Bit integrations – Form Integration, Webhook, Spreadsheets, CRM, LMS & Email Automation dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do 2.8.7 włącznie. Atakujący bez uwierzytelnienia mogą wysyłać żądania HTTP do dowolnych lokalizacji, co pozwala na dostęp do wewnętrznych usług.
Zidentyfikowano podatność w wersjach 1.38.0 do 1.39.0 armeria-xds, gdzie DataSourceStream w module xDS może bez ograniczeń rozwiązywać nazwy plików i zmienne środowiskowe dostarczane przez kontroler xDS.
Wtyczka Classified Listing – Classified ads & Business Directory dla WordPress jest podatna na brak autoryzacji we wszystkich wersjach do 5.4.2 włącznie. Problem wynika z braku sprawdzenia uprawnień w obsłudze AJAX gallery_image_update_as_feature, co pozwala uwierzytelnionym atakującym na zmianę wyróżnionego obrazu dowolnych ogłoszeń, których nie posiadają.
Wersje Canonical MicroCeph z toru squid i tentacle są podatne na problem z przechodzeniem ścieżek w API remote-import. Użytkownicy posiadający zaufany certyfikat mTLS klastra lub token dołączania mogą manipulować plikami w zaimportowanym zdalnym klastrze.
Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 3.1.39 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na przetwarzanie żądań SAR z wykorzystaniem dowolnego adresu e-mail ofiary.
Wtyczka User Admin Simplifier dla WordPressa jest podatna na atak typu Cross-Site Request Forgery (CSRF) w wersjach do 3.0.0 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji useradminsimplifier_options_page, co pozwala nieautoryzowanym atakującym na resetowanie i trwałe usuwanie konfiguracji menu oraz paska administracyjnego użytkowników.
Atakujący w zasięgu komunikacji BLE może zmonopolizować jedyny dostępny slot połączenia BLE urządzenia, uniemożliwiając legalnym użytkownikom lub aplikacjom nawiązanie połączenia.
Atakujący w zasięgu komunikacji BLE może pasywnie przechwytywać ruch bezprzewodowy i uzyskać wrażliwe informacje zdrowotne, w tym wartości pomiarów glukozy.
Podatność SQL injection w pgAdmin 4 w punkcie końcowym nazwanego punktu przywracania (POST /browser/server/restore_point/{gid}/{sid}). Wartość dostarczona przez użytkownika w polu 'value' była bezpośrednio interpolowana do zapytania SQL za pomocą str.format() zamiast przekazana jako parametr związany, co pozwalało uwierzytelnionemu użytkownikowi pgAdmin z aktywną sesją PostgreSQL na wstrzyknięcie dodatkowych instrukcji przez ten punkt końcowy.
Podatność typu open redirect w mechanizmie uwierzytelniania wieloskładnikowego (MFA) pgAdmin 4. Punkty końcowe walidacji i rejestracji MFA honorowały dostarczony przez użytkownika parametr 'next' bez weryfikacji, czy cel wskazuje z powrotem na pgAdmin, co umożliwiało przekierowanie uwierzytelnionego użytkownika na zewnętrzną, złośliwą stronę.
PraisonAI w wersjach przed 1.5.115 zawiera podatność na ujawnienie informacji w komponencie MultiAgentLedger, która pozwala atakującym na dostęp do wrażliwych danych poprzez rejestrowanie agentów z duplikatami identyfikatorów. Brak egzekwowania unikalności identyfikatorów agentów umożliwia dzielenie instancji księgi i ujawnienie systemowych komunikatów oraz historii rozmów między agentami.
PraisonAI w wersjach przed 1.5.128 przechowuje decyzje o zatwierdzeniu narzędzi tylko na podstawie nazwy narzędzia, a nie argumentów wywołania, co pozwala na ominięcie komunikatów zatwierdzających przy kolejnych wywołaniach execute_command.
phpMyFAQ to otwartoźródłowa aplikacja webowa do zarządzania FAQ. W wersjach przed 4.1.4 występuje brak autoryzacji w API CategoryController, co pozwala na nieautoryzowane operacje na czterech punktach końcowych API.
Hashgraph Guardian w wersji do 3.6.0 zawiera podatność na przechowywane ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym użytkownikom z rolą STANDARD_REGISTRY na wstrzykiwanie złośliwych skryptów poprzez przesyłanie spreparowanej wartości companyName za pośrednictwem API konfiguracji marki.
W bibliotece OpenEXR w wersjach od 3.4.0 do 3.4.11 wykryto podatność na odczyt poza zakresem sterty (heap-buffer-overflow) w funkcji ht_undo_impl() dekodera HTJ2K. Problem wynika z braku walidacji rozmiaru bufora linii OpenJPH względem deklarowanej szerokości kanału EXR, co może prowadzić do deterministycznej awarii (DoS) i potencjalnego wycieku danych z sąsiedniej sterty.

