Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wtyczka wplms_plugin w VibeThemes WPLMS zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji WPLMS od n/a do poniżej 1.9.9.5.3.
W podatności CVE-2024-56039 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w VibeThemes VibeBP. Problem dotyczy wersji VibeBP od n/a do poniżej 1.9.9.7.7.
System Elektronicznego Zarządzania Dokumentami Oficjalnymi od 2100 Technology posiada podatność na obejście uwierzytelniania. Mimo że produkt stosuje białą listę adresów IP dla API używanego do zapytań o tokeny użytkowników, nieautoryzowani zdalni atakujący mogą oszukać serwer, aby uzyskać tokeny dowolnych użytkowników, które mogą być następnie wykorzystane do logowania się do systemu.
Podatność związana z nieprawidłowym przypisaniem uprawnień w sslplugins SSL Wireless SMS Notification umożliwia eskalację uprawnień. Problem ten dotyczy wersji SSL Wireless SMS Notification od n/a do 3.6.0 włącznie.
Simofa to narzędzie do automatyzacji budowy i wdrażania statycznych stron internetowych. Przed wersją 0.2.7, z powodu błędu projektowego w klasie RouteLoader, niektóre trasy API mogły być publicznie dostępne, gdy powinny wymagać uwierzytelnienia. Ta podatność została naprawiona w wersji 0.2.7.
Tecnick TCExam jest podatny na atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań do bazy danych.
Tiki Wiki CMS jest podatny na atak typu OS Command Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemowych. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych na serwerze.
W aplikacji Kurmi Provisioning Suite w wersji 7.9.0.33 odkryto problem związany z nagłówkiem X-Forwarded-For. Podczas uwierzytelniania aplikacja może zarejestrować fałszywy adres IP z tego nagłówka zamiast rzeczywistego adresu IP użytkownika.
W SimplCommerce występuje podatność na przepełnienie całkowite w funkcjonalności koszyka zakupowego. Problem dotyczy parametru ilości w metodzie AddToCart kontrolera CartController.
W podatności CVE-2024-8950 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na przeprowadzenie ataku typu Blind SQL Injection w systemie Piramit Automation firmy Arne Informatics. Problem dotyczy wersji przed 27.09.2024.
Wtyczka WooCommerce Point of Sale dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 6.1.0. Problem wynika z niewystarczającej walidacji wartości 'logged_in_user_id' w przypadku pustych wartości opcji, co umożliwia atakującym zmianę adresu e-mail dowolnych kont użytkowników.
Wiele routerów SHARP ma włączoną ukrytą funkcję debugowania. Zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe z uprawnieniami roota.
Wtyczka Store Locator for WordPress z Google Maps – LotsOfLocales w wersji 3.98.9 jest podatna na Local File Inclusion poprzez parametr 'sl_engine'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze, co pozwala na wykonanie kodu PHP w tych plikach.
pyrage to zestaw powiązań Pythona dla biblioteki szyfrowania plików rage (age w Rust). Wersje `pyrage` przed 1.2.0 nie obsługują wtyczek i dlatego nie są dotknięte tą podatnością. Problem został rozwiązany w wersji 1.2.3, a użytkownicy są zachęcani do aktualizacji.
Problem w module Quectel BG96 BG96MAR02A08M1G umożliwia atakującym ominięcie uwierzytelnienia za pomocą spreparowanej wiadomości NAS. Należy zauważyć, że dostawca kwestionuje tę informację.
Problem w Quectel BC95-CNV V100R001C00SPC051 umożliwia atakującym ominięcie uwierzytelnienia za pomocą spreparowanej wiadomości NAS.
cjwt to implementacja C JSON Web Token (JWT), która jest podatna na zamieszanie algorytmów podczas weryfikacji podpisu. Atakujący może wykorzystać brak rozróżnienia między metodami podpisywania, co prowadzi do nieautoryzowanego dostępu.
W podatności CVE-2024-55081 zidentyfikowano lukę typu XML External Entity (XXE) w komponencie /datagrip/upload aplikacji Chat2DB w wersji 0.3.5. Umożliwia ona atakującym wykonanie dowolnego kodu poprzez dostarczenie odpowiednio przygotowanego wejścia XML.
W podatności CVE-2024-10244 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu ISDO Web Software w wersjach przed 3.6.
Wtyczka AutomatorWP dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a-0-o-search_field_value' we wszystkich wersjach do 5.0.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Atakujący mogą wstrzykiwać dowolne skrypty webowe, które zostaną wykonane, jeśli użytkownik zostanie oszukany do wykonania akcji, takiej jak kliknięcie w link.

