Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Cotonti w wersji 1.0.0 (gałąź master, commit f43f1fc3) jest podatny na atak Cross-Site Request Forgery w module Personal File Storage (PFS). Akcja aktualizacji folderu ('a=update') nie weryfikuje tokenu anty-CSRF, co pozwala na modyfikację metadanych folderu przez złośliwe żądanie.
W pliku AndroidManifest.xml występuje możliwa trwała odmowa usługi z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnej odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
Wtyczka SysBasics Customize My Account dla WooCommerce jest podatna na odzwierciedlone ataki Cross-Site Scripting poprzez parametr 'tab' w wersjach do 4.3.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, co wymaga, aby ofiara była zalogowana z dostępem co najmniej na poziomie Menedżera Sklepu.
Wtyczka Customize My Account For Woocommerce dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'sysbasics_user_avatar' w wersjach do 4.3.6 włącznie. Problem wynika z niewystarczającej sanitizacji wejścia i ucieczki wyjścia atrybutów dostarczanych przez użytkowników.
Wtyczka Kalendarz Rezerwacji Spotkań dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.4.01 włącznie. Problem wynika z niewystarczającej autoryzacji oraz braku kontroli własności kalendarza w funkcji cpabc_appointments_calendar_load2().
Wtyczka PowerPress Podcasting od Blubrry dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole 'embed' w metadanych odcinka. Problem ten występuje we wszystkich wersjach do 11.16.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Equalize Digital Accessibility Checker dla WordPress jest podatna na obejście autoryzacji we wszystkich wersjach do 1.42.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala atakującym z poziomem dostępu autora i wyżej na manipulację rekordami problemów związanych z dostępnością.
Wtyczka FireBox Popups – Increase Sales and Grow Your Email List dla WordPress jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 3.1.7 poprzez parametr 'form_id'. Umożliwia to nieautoryzowanym atakującym pobranie pełnego eksportu CSV wszystkich zgłoszeń formularzy, w tym wszelkich danych osobowych przesłanych przez użytkowników.
Wtyczka Simple Membership dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.7.5 włącznie. Problem wynika z braku odpowiedniej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym dezaktywować konta członków.
Wtyczka Optimole do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.2.6. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji replace_file, co pozwala na nadpisanie istniejących załączników medialnych przez nieautoryzowanych atakujących.
Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'name' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Form Maker od 10Web, służąca do tworzenia formularzy kontaktowych w WordPressie, jest podatna na ogólną injekcję SQL poprzez parametr 'groupids' we wszystkich wersjach do 1.15.43 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Services Section Block – Showcase Service Details in Grid or Columns dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'link' w bloku. Problem ten występuje we wszystkich wersjach do 1.4.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Advanced Order Export For WooCommerce dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'sort_direction' we wszystkich wersjach do 4.0.10 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More dla WordPress jest podatna na przechowywane Cross-Site Scripting (XSS) poprzez ustawienia administracyjne we wszystkich wersjach do 3.0.6 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Kadence Blocks — Page Builder Toolkit dla edytora Gutenberg w WordPressie jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.7.5 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wydobycie klucza licencyjnego, adresu e-mail właściciela licencji oraz innych wrażliwych danych z konsoli przeglądarki.
Wtyczka Tutor LMS – rozwiązanie e-learningowe i kursów online dla WordPress jest podatna na ogólną injekcję SQL poprzez parametr 'data' we wszystkich wersjach do 3.9.11 włącznie, z powodu niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka PressPrimer Quiz – AI Quiz Maker, Exam Builder & LMS Assessment Plugin dla WordPress jest podatna na niebezpieczne bezpośrednie odniesienie do obiektu w wersjach do 2.3.0 włącznie, z powodu braku walidacji parametru 'rule_id'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie custom i wyżej modyfikację lub usunięcie reguł quizów należących do innych nauczycieli.
Wtyczka Event Koi Lite – Kalendarz Wydarzeń, Zarządzanie Wydarzeniami, RSVP i Bilety dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.3.13.1. Umożliwia to nieautoryzowanym atakującym wydobycie wrażliwych danych, takich jak adresy URL spotkań wirtualnych oraz dane lokalizacyjne.
Wtyczka Dokan: AI Powered WooCommerce Multivendor Marketplace Solution jest podatna na niebezpieczne bezpośrednie odniesienie do obiektów we wszystkich wersjach do 5.0.3. Brak walidacji właściciela na kluczu ID zamówienia umożliwia uwierzytelnionym atakującym modyfikację statusu zamówień oraz dodawanie, usuwanie i modyfikowanie notatek zamówień.

