Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-56042
Krytyczne

Wtyczka wplms_plugin w VibeThemes WPLMS zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji WPLMS od n/a do poniżej 1.9.9.5.3.

CVE-2024-56039
Krytyczne

W podatności CVE-2024-56039 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w VibeThemes VibeBP. Problem dotyczy wersji VibeBP od n/a do poniżej 1.9.9.7.7.

CVE-2024-13061
Krytyczne

System Elektronicznego Zarządzania Dokumentami Oficjalnymi od 2100 Technology posiada podatność na obejście uwierzytelniania. Mimo że produkt stosuje białą listę adresów IP dla API używanego do zapytań o tokeny użytkowników, nieautoryzowani zdalni atakujący mogą oszukać serwer, aby uzyskać tokeny dowolnych użytkowników, które mogą być następnie wykorzystane do logowania się do systemu.

CVE-2024-56220
Krytyczne

Podatność związana z nieprawidłowym przypisaniem uprawnień w sslplugins SSL Wireless SMS Notification umożliwia eskalację uprawnień. Problem ten dotyczy wersji SSL Wireless SMS Notification od n/a do 3.6.0 włącznie.

CVE-2024-56799
Krytyczne

Simofa to narzędzie do automatyzacji budowy i wdrażania statycznych stron internetowych. Przed wersją 0.2.7, z powodu błędu projektowego w klasie RouteLoader, niektóre trasy API mogły być publicznie dostępne, gdy powinny wymagać uwierzytelnienia. Ta podatność została naprawiona w wersji 0.2.7.

CVE-2024-47926
Krytyczne

Tecnick TCExam jest podatny na atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań do bazy danych.

CVE-2024-47919
Krytyczne

Tiki Wiki CMS jest podatny na atak typu OS Command Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemowych. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych na serwerze.

CVE-2024-54450
Krytyczne

W aplikacji Kurmi Provisioning Suite w wersji 7.9.0.33 odkryto problem związany z nagłówkiem X-Forwarded-For. Podczas uwierzytelniania aplikacja może zarejestrować fałszywy adres IP z tego nagłówka zamiast rzeczywistego adresu IP użytkownika.

CVE-2024-50944
Krytyczne

W SimplCommerce występuje podatność na przepełnienie całkowite w funkcjonalności koszyka zakupowego. Problem dotyczy parametru ilości w metodzie AddToCart kontrolera CartController.

CVE-2024-8950
Krytyczne

W podatności CVE-2024-8950 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na przeprowadzenie ataku typu Blind SQL Injection w systemie Piramit Automation firmy Arne Informatics. Problem dotyczy wersji przed 27.09.2024.

CVE-2024-11281
Krytyczne

Wtyczka WooCommerce Point of Sale dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 6.1.0. Problem wynika z niewystarczającej walidacji wartości 'logged_in_user_id' w przypadku pustych wartości opcji, co umożliwia atakującym zmianę adresu e-mail dowolnych kont użytkowników.

CVE-2024-46873
Krytyczne

Wiele routerów SHARP ma włączoną ukrytą funkcję debugowania. Zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe z uprawnieniami roota.

CVE-2024-12571
Krytyczne

Wtyczka Store Locator for WordPress z Google Maps – LotsOfLocales w wersji 3.98.9 jest podatna na Local File Inclusion poprzez parametr 'sl_engine'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze, co pozwala na wykonanie kodu PHP w tych plikach.

CVE-2024-56327
Krytyczne

pyrage to zestaw powiązań Pythona dla biblioteki szyfrowania plików rage (age w Rust). Wersje `pyrage` przed 1.2.0 nie obsługują wtyczek i dlatego nie są dotknięte tą podatnością. Problem został rozwiązany w wersji 1.2.3, a użytkownicy są zachęcani do aktualizacji.

CVE-2024-54984
Krytyczne

Problem w module Quectel BG96 BG96MAR02A08M1G umożliwia atakującym ominięcie uwierzytelnienia za pomocą spreparowanej wiadomości NAS. Należy zauważyć, że dostawca kwestionuje tę informację.

CVE-2024-54983
Krytyczne

Problem w Quectel BC95-CNV V100R001C00SPC051 umożliwia atakującym ominięcie uwierzytelnienia za pomocą spreparowanej wiadomości NAS.

CVE-2024-54150
Krytyczne

cjwt to implementacja C JSON Web Token (JWT), która jest podatna na zamieszanie algorytmów podczas weryfikacji podpisu. Atakujący może wykorzystać brak rozróżnienia między metodami podpisywania, co prowadzi do nieautoryzowanego dostępu.

CVE-2024-55081
Krytyczne

W podatności CVE-2024-55081 zidentyfikowano lukę typu XML External Entity (XXE) w komponencie /datagrip/upload aplikacji Chat2DB w wersji 0.3.5. Umożliwia ona atakującym wykonanie dowolnego kodu poprzez dostarczenie odpowiednio przygotowanego wejścia XML.

CVE-2024-10244
Krytyczne

W podatności CVE-2024-10244 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu ISDO Web Software w wersjach przed 3.6.

CVE-2024-12626
Krytyczne

Wtyczka AutomatorWP dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a-0-o-search_field_value' we wszystkich wersjach do 5.0.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, które zostaną wykonane, jeśli użytkownik zostanie oszukany do wykonania akcji, takiej jak kliknięcie w link.

PoprzedniaStrona 291 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS