Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W urządzeniu Menlo On-Premise przed wersją 2.88, polityka sieciowa może nie być konsekwentnie stosowana do celowo sfałszowanych żądań klientów. Problem ten został naprawiony w wersjach 2.88.2+, 2.89.1+ oraz 2.90.1+.
Podatność CVE-2024-54297 dotyczy vBSSO-lite w wersjach od n/a do 1.4.3, umożliwiając obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.
W podatności CVE-2024-54296 w systemie CoSchool LMS firmy Codexpert, Inc występuje możliwość ominięcia uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału. Problem ten dotyczy wersji CoSchool LMS od n/a do 1.4.3 włącznie.
W podatności CVE-2024-54295 występuje możliwość ominięcia uwierzytelnienia w aplikacji ListApp Mobile Manager poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji aplikacji od n/a do 1.7.7 włącznie.
Podatność CVE-2024-54294 dotyczy mechanizmu uwierzytelniania w aplikacji Appgenix Infotech Firebase OTP Authentication, który umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Firebase OTP Authentication od n/a do 1.0.1 włącznie.
W podatności CVE-2024-54293 występuje nieprawidłowe przypisanie uprawnień w pakiecie CE21 Suite, co umożliwia eskalację uprawnień. Problem ten dotyczy wersji CE21 Suite od n/a do 2.2.0 włącznie.
W aplikacjach Appsplate występuje podatność na atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji Appsplate od n/a do 2.1.3.
Podatność na deserializację niezaufanych danych w PickPlugins Mail Picker umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Mail Picker od n/a do 1.0.14 włącznie.
Podatność CVE-2024-54262 dotyczy wtyczki Import Export For WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
W podatności CVE-2024-54261 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w usłudze TAX SERVICE Electronic HDM. Problem dotyczy wersji od n/a do 1.2.2 włącznie.
W formularzu recepty na okulary w aplikacji dugudlabs występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji formularza recepty na okulary od n/a do 4.0.18 włącznie.
W podatności CVE-2024-54234 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Limit Login Attempts. Problem dotyczy wersji wtyczki od n/a do 5.5 włącznie.
Wtyczka JS Help Desk – Best Help Desk & Support Plugin zawiera lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów zabezpieczeń dostępu. Problem dotyczy wersji od n/a do 2.7.1.
Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).
ComfyUI-Ace-Nodes jest podatny na wstrzykiwanie kodu. Węzeł ACE_ExpressionEval zawiera funkcję eval() w swoim punkcie wejścia, która akceptuje dowolne dane kontrolowane przez użytkownika, co pozwala na wykonanie arbitralnego kodu na serwerze.
ComfyUI-Bmad-Nodes jest podatny na wstrzykiwanie kodu. Problem wynika z ominięcia walidacji w niestandardowych węzłach BuildColorRangeHSVAdvanced, FilterContour i FindContour, gdzie w funkcji wejściowej każdego węzła wywoływana jest funkcja eval, co może prowadzić do wykonania dowolnego kodu na serwerze.
Wtyczka Super Backup & Clone - Migrate dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku oraz braku sprawdzenia uprawnień w funkcji ibk_restore_migrate_check() we wszystkich wersjach do i włącznie z 2.3.3. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W aplikacji mobilnej (com.transsion.applock) występuje luka logiczna, która może umożliwić ominięcie hasła aplikacji.
http4k to funkcjonalny zestaw narzędzi dla aplikacji HTTP w Kotlinie. W wersjach przed 6.50.0.0 występowała potencjalna podatność XXE (XML External Entity Injection), która mogła umożliwić atakującym odczyt lokalnych informacji wrażliwych na serwerze oraz wywołanie ataków SSRF i wykonanie kodu w określonych okolicznościach.
Problem wynika z braku walidacji pola pip w żądaniu POST wysyłanym do punktu końcowego /customnode/install, który jest używany do instalacji niestandardowych węzłów dodawanych do serwera przez rozszerzenie. Umożliwia to atakującemu skonstruowanie żądania, które wywołuje instalację pakietu lub adresu URL kontrolowanego przez użytkownika, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze.

