Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Nokia MantaRay NM zawiera podatność polegającą na nieograniczonym przesyłaniu plików z powodu niewystarczającej walidacji typów plików. Umożliwia to uwierzytelnionemu atakującemu przesłanie złośliwych plików do systemu.
Biblioteka decode-uri-component w wersji do 0.4.1 jest podatna na atak typu odmowa usługi (DoS). Funkcja decode() dzieli wejście na tokeny według znaku '%', a następnie wywołuje decodeComponents(), co prowadzi do super-liniowego czasu przetwarzania: 200 tokenów '%ab' zajmuje około 0,7s, 700 tokenów około 6s, a 1400 tokenów około 33s. Atakujący może wykorzystać spreparowane dane wejściowe do znacznego obciążenia procesora i zablokowania pętli zdarzeń.
Podatność umożliwia deserializację niezaufanych danych, co może pozwolić atakującemu na wykonanie dowolnego kodu.
Wtyczka Fluent Booking dla WordPress przed wersją 2.1.2 nie weryfikuje własności żądanego group_id przed eksportem danych uczestników przez endpoint eksportu. Użytkownicy z rolą co najmniej Calendar Manager mogą pobierać dane osobowe (PII) uczestników z grup kalendarza, których nie są właścicielami.
W wielu drukarkach laserowych i urządzeniach wielofunkcyjnych (MFP) implementujących Ricoh Web Image Monitor wykryto podatność na odbity cross-site scripting (XSS). Atakujący może wykorzystać tę lukę do wykonania dowolnego skryptu w przeglądarce użytkownika odwiedzającego Web Image Monitor.
Urządzenie DGM3103SCT firmy AVTECH Security Corporation zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Użytkownik posiadający dostęp do konsoli zarządzania webowego może wykonać dowolne polecenia z uprawnieniami roota.
W oprogramowaniu RPG MAKER MV i MZ firmy Gotcha Gotcha Games Inc. wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Załadowanie specjalnie spreparowanego pliku zapisu może prowadzić do wykonania dowolnego polecenia OS.
W bibliotece libarchive w czytniku RAR5 wykryto podwójne zwolnienie pamięci. Podczas przetwarzania specjalnie spreparowanego archiwum RAR5 wskaźnik filtered_buf może pozostać nieaktualny po zwolnieniu w trakcie reinicjalizacji stanu rozpakowywania. Kolejne przetwarzanie innego wpisu archiwum może spowodować ponowne zwolnienie tego samego obszaru pamięci, prowadząc do podwójnego zwolnienia.
Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.
Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.
Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.
Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nie oczyszcza kluczy tablic dostarczanych przez użytkownika przed użyciem ich w zapytaniu SQL, co pozwala nieuwierzytelnionym użytkownikom na przeprowadzanie ataków SQL injection.
Wtyczka WP Support Plus Responsive Ticket System dla WordPressa w wersji do 9.1.2 nieprawidłowo waliduje przesyłane pliki, umożliwiając niezalogowanym użytkownikom wgrywanie plików z złośliwym JavaScript (np. HTML lub SVG) do publicznie dostępnej lokalizacji, co prowadzi do trwałego ataku Cross-Site Scripting na użytkowników i administratorów witryny.
Wtyczka Kali Forms dla WordPressa przed wersją 2.4.13 nie oczyszcza opisu pola formularza przed wyświetleniem go jako nagłówka kolumny na ekranie administratora. Użytkownicy z rolą Współautora lub wyższą mogą wstrzyknąć JavaScript, który wykona się w sesji administratora. Brak kontroli uprawnień w akcji duplikowania wpisów pozwala Współautorowi opublikować złośliwy formularz, który administrator wyświetli.
Wtyczka Plugin for Google Analytics by IO technologies dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.1 włącznie. Brak walidacji tokena nonce na stronie ustawień Google Analytics (ga.php) umożliwia nieuwierzytelnionym atakującym zmianę identyfikatora śledzenia Google Analytics (io-ga-id) poprzez sfałszowane żądanie, pod warunkiem nakłonienia administratora do kliknięcia w link.
Wtyczka Editorial Rating – Product Review & Rating System dla WordPressa do wersji 4.0.5 włącznie zawiera podatność na trwałe ataki XSS przez pole 'Link URL'. Wynika to z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia, co umożliwia uwierzytelnionym atakującym z uprawnieniami administratora wstrzyknięcie dowolnego kodu JavaScript.
Wtyczka Premium Addons for KingComposer dla WordPressa do wersji 1.1.1 włącznie jest podatna na nieautoryzowaną modyfikację i utratę danych. Brak autoryzacji i kontroli uprawnień w handlerach AJAX add_custom_sidebar() i remove_custom_sidebar() pozwala nieuwierzytelnionym atakującym na tworzenie lub usuwanie niestandardowych obszarów widgetów, co może prowadzić do cichej utraty rejestracji widgetów i ich niewyświetlania.
Wtyczka ProfileGrid dla WordPressa do wersji 5.9.9.5 włącznie zawiera podatność umożliwiającą eskalację uprawnień poprzez przejęcie konta. Brak walidacji parametru `user_login` w formularzach rejestracyjnych oraz nieprawidłowa obsługa komunikatów błędów pozwalają nieuwierzytelnionemu atakującemu na zmianę adresu e-mail konta o ID=1 (zazwyczaj administratora), a następnie zresetowanie hasła i przejęcie dostępu.
Wtyczka PixMagix – WordPress Image Editor do WordPressa jest podatna na Directory Traversal we wszystkich wersjach do 1.7.2 włącznie, poprzez funkcję move_image_on_server. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyższym zapisywanie plików z dowolną treścią w dowolnych lokalizacjach na serwerze.
W bibliotece Samsung Open Source Escargot wykryto podatność typu TOCTOU (Time-of-check time-of-use) polegającą na wyścigu (race condition). Luka umożliwia wykorzystanie warunków wyścigu do naruszenia integralności danych.

