Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W aplikacji Govee Home na systemy Android i iOS występuje podatność związana z nieprawidłową autoryzacją w metodzie HTTP POST, która pozwala zdalnemu atakującemu na kontrolowanie urządzeń należących do innych użytkowników poprzez zmianę wartości pól 'device', 'sku' i 'type'. Problem dotyczy wersji aplikacji Govee Home przed 5.9.
Podatność CVE-2024-56057 dotyczy wtyczki wplms_plugin w systemie WPLMS, która pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WPLMS od n/a do < 1.9.9.5.2.
Podatność CVE-2024-56054 dotyczy wtyczki wplms_plugin w systemie WPLMS, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-56052 w wtyczce wplms_plugin dla WPLMS umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPLMS od n/a do < 1.9.9.5.2.
Wtyczka wplms_plugin w VibeThemes WPLMS ma podatność na nieograniczone przesyłanie plików z niebezpiecznym typem, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPLMS od n/a do < 1.9.9.5.3.
W podatności CVE-2024-54383 występuje nieprawidłowe przypisanie uprawnień w wtyczce wpweb WooCommerce PDF Vouchers, co umożliwia eskalację uprawnień. Problem dotyczy wersji WooCommerce PDF Vouchers od n/a do poniżej 4.9.9.
Podatność typu 'Zanieczyszczenie prototypu' w farinspace Partners umożliwia nieprawidłową modyfikację atrybutów prototypu obiektu, co prowadzi do wstrzyknięcia obiektów. Problem dotyczy wersji Partners od n/a do 0.2.0 włącznie.
Podatność CVE-2024-56058 dotyczy deserializacji niezaufanych danych w VRPConnector, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji VRPConnector od n/a do 2.0.1 włącznie.
Wykorzystanie twardo zakodowanego hasła dla konta administratora bazy danych utworzonego podczas instalacji Wapro ERP umożliwia atakującemu dostęp do wrażliwych danych przechowywanych w bazie danych. Hasło jest identyczne we wszystkich instalacjach Wapro ERP. Problem dotyczy wersji Wapro ERP Desktop przed 8.90.0.
Wapro ERP Desktop jest podatny na atak polegający na obniżeniu protokołu MS SQL z poziomu serwera, co może prowadzić do niezaszyfrowanej komunikacji. Problem ten dotyczy wersji Wapro ERP Desktop przed 9.00.0.
W aplikacji OPPO Store występuje możliwość eskalacji uprawnień z powodu niewłaściwej walidacji danych wejściowych.
Wtyczka Biagiotti Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.2. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed jego uwierzytelnieniem.
Wersje pakietu unisharp/laravel-filemanager przed 2.9.1 są podatne na zdalne wykonanie kodu (RCE) poprzez użycie prawidłowego typu MIME i dodanie znaku . po rozszerzeniu pliku php. Umożliwia to atakującemu wykonanie złośliwego kodu.
Dante w wersjach od 1.4.0 do 1.4.3 (naprawione w 1.4.4) ma nieprawidłową kontrolę dostępu dla niektórych konfiguracji sockd.conf związanych z socksmethod.
W aplikacji Saha365 występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji aplikacji przed 30.09.2024.
Podatność CVE-2024-10205 dotyczy obejścia uwierzytelniania w komponentach Hitachi Ops Center Analyzer oraz Hitachi Infrastructure Analytics Advisor na systemach Linux 64-bit. Problem ten występuje w wersjach Hitachi Ops Center Analyzer od 10.0.0-00 do przed 11.0.3-00 oraz w Hitachi Infrastructure Analytics Advisor od 2.1.0-00 do 4.4.0-00.
Podatność typu przepełnienie bufora w routerze NEXTU FLATA AX1500 w wersji 1.0.2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent obsługi żądań POST.
W wersji 4.5.1 Weasis, w pliku ui/pref/ProxyPrefView.java, znajduje się zakodowany na stałe klucz do symetrycznego szyfrowania poświadczeń proxy. To może prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
Podatność CVE-2024-54285 dotyczy SeedProd Pro i pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 6.18.10.
W podatności CVE-2024-54280 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce WPBookit w wersjach od n/a do 1.6.0. Problem ten może umożliwić atakującym manipulację bazą danych aplikacji.

