Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-55745
Średnie

Cotonti w wersji 1.0.0 (gałąź master, commit f43f1fc3) jest podatny na atak Cross-Site Request Forgery w module Personal File Storage (PFS). Akcja aktualizacji folderu ('a=update') nie weryfikuje tokenu anty-CSRF, co pozwala na modyfikację metadanych folderu przez złośliwe żądanie.

CVE-2026-28573
Średnie

W pliku AndroidManifest.xml występuje możliwa trwała odmowa usługi z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnej odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2026-12137
Średnie

Wtyczka SysBasics Customize My Account dla WooCommerce jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'tab' w wersjach do 4.3.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, co wymaga, aby ofiara była zalogowana z dostępem co najmniej na poziomie Menedżera Sklepu.

CVE-2026-12136
Średnie

Wtyczka Customize My Account For Woocommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'sysbasics_user_avatar' w wersjach do 4.3.6 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów dostarczanych przez użytkowników.

CVE-2026-12111
Średnie

Wtyczka Kalendarz Rezerwacji Spotkań dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.4.01 włącznie. Problem wynika z niewystarczającej autoryzacji oraz braku kontroli własności kalendarza w funkcji cpabc_appointments_calendar_load2().

CVE-2026-12098
Średnie

Wtyczka PowerPress Podcasting od Blubrry dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole 'embed' w metadanych odcinka. Problem ten występuje we wszystkich wersjach do 11.16.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-9199
Średnie

Wtyczka Equalize Digital Accessibility Checker dla WordPress jest podatna na obejście autoryzacji we wszystkich wersjach do 1.42.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala atakującym z poziomem dostępu autora i wyżej na manipulację rekordami problemów związanych z dostępnością.

CVE-2026-12120
Średnie

Wtyczka FireBox Popups – Increase Sales and Grow Your Email List dla WordPress jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 3.1.7 poprzez parametr 'form_id'. Umożliwia to nieautoryzowanym atakującym pobranie pełnego eksportu CSV wszystkich zgłoszeń formularzy, w tym wszelkich danych osobowych przesłanych przez użytkowników.

CVE-2026-12093
Średnie

Wtyczka Simple Membership dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.7.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym dezaktywować konta członków.

CVE-2026-11784
Średnie

Wtyczka Optimole do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.2.6. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji replace_file, co pozwala na nadpisanie istniejących załączników medialnych przez nieautoryzowanych atakujących.

CVE-2026-11777
Średnie

Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'name' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-11776
Średnie

Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'groupids' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-11402
Średnie

Wtyczka Services Section Block – Showcase Service Details in Grid or Columns dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'link' w bloku. Problem ten występuje we wszystkich wersjach do 1.4.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-11360
Średnie

Wtyczka Advanced Order Export For WooCommerce dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'sort_direction' we wszystkich wersjach do 4.0.10 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-11358
Średnie

Wtyczka Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More dla WordPress jest podatna na przechowywane Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 3.0.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

CVE-2026-11357
Średnie

Wtyczka Kadence Blocks — Page Builder Toolkit dla edytora Gutenberg w WordPressie jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.7.5 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wydobycie klucza licencyjnego, adresu e-mail właściciela licencji oraz innych wrażliwych danych z konsoli przeglądarki.

CVE-2026-10736
Średnie

Wtyczka Tutor LMS – rozwiązanie e-learningowe i kursów online dla WordPress jest podatna na ogólną injekcję SQL poprzez parametr 'data' we wszystkich wersjach do 3.9.11 włącznie, z powodu niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2026-10623
Średnie

Wtyczka PressPrimer Quiz – AI Quiz Maker, Exam Builder & LMS Assessment Plugin dla WordPress jest podatna na niebezpieczne bezpośrednie odniesienie do obiektu w wersjach do 2.3.0 włącznie, z powodu braku walidacji parametru 'rule_id'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie custom i wyżej modyfikację lub usunięcie reguł quizów należących do innych nauczycieli.

CVE-2026-10029
Średnie

Wtyczka Event Koi Lite – Kalendarz Wydarzeń, Zarządzanie Wydarzeniami, RSVP i Bilety dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.3.13.1. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, takich jak adresy URL spotkań wirtualnych oraz dane lokalizacyjne.

CVE-2026-10023
Średnie

Wtyczka Dokan: AI Powered WooCommerce Multivendor Marketplace Solution jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów we wszystkich wersjach do 5.0.3. Brak walidacji właściciela na kluczu ID zamówienia umożliwia uwierzytelnionym atakującym modyfikację statusu zamówień oraz dodawanie, usuwanie i modyfikowanie notatek zamówień.

PoprzedniaStrona 88 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS