Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-47598
Krytyczne

W bibliotece GStreamer odkryto podatność typu OOB-read w funkcji qtdemux_merge_sample_table w pliku qtdemux.c. Problem polega na tym, że rozmiar bufora stts nie jest odpowiednio sprawdzany przed odczytem stts_duration, co pozwala na odczytanie 4 bajtów poza granicami stts->data.

CVE-2024-47597
Krytyczne

W bibliotece GStreamer wykryto podatność typu OOB-read w funkcji qtdemux_parse_samples, która może odczytywać dane poza granicami bufora stream->stco. Problem ten występuje podczas analizy pliku GHSL-2024-245_crash1.mp4, co może prowadzić do odczytu do 8 bajtów poza dozwolonym zakresem.

CVE-2024-47540
Krytyczne

W bibliotece GStreamer zidentyfikowano podatność w funkcji gst_matroska_demux_add_wvpk_header, polegającą na użyciu niezainicjowanej zmiennej stosu. Gdy rozmiar jest mniejszy niż 4, program wywołuje gst_buffer_unmap z niezainicjowaną zmienną map, co może prowadzić do przejęcia wskaźnika funkcji i potencjalnego wykonania kodu.

CVE-2024-47539
Krytyczne

W bibliotece GStreamer zidentyfikowano podatność typu out-of-bounds write w funkcji convert_to_s334_1a w pliku isomp4/qtdemux.c. Problem wynika z niezgodności między rozmiarem pamięci przydzielonej dla tablicy storage a warunkiem pętli i * 2 < ccpair_size, co prowadzi do zapisu poza przydzielonymi granicami.

CVE-2024-47538
Krytyczne

W bibliotece GStreamer wykryto przepełnienie bufora stosu w funkcji `vorbis_handle_identification_packet` w pliku `gstvorbisdec.c`. Problem występuje, gdy liczba kanałów `vd->vi.channels` przekracza 64, co prowadzi do zapisu poza granicami bufora pozycji o rozmiarze 64.

CVE-2024-47537
Krytyczne

GStreamer, biblioteka do tworzenia grafów komponentów obsługi mediów, ma podatność związaną z ponownym przydzielaniem pamięci. Problem polega na tym, że wartość samples_count jest odczytywana z pliku wejściowego, co może prowadzić do przepełnienia całkowitego i w konsekwencji do przydzielenia zbyt małej ilości pamięci.

CVE-2024-42448
Krytyczne

Na maszynie serwera VSPC, pod warunkiem, że agent zarządzający jest autoryzowany na serwerze, możliwe jest wykonanie zdalnego kodu (RCE).

CVE-2024-11737
Krytyczne

W podatności CVE-2024-11737 występuje niewłaściwa walidacja danych wejściowych, co może prowadzić do odmowy usługi oraz utraty poufności i integralności kontrolera, gdy do urządzenia zostanie wysłany nieautoryzowany, spreparowany pakiet Modbus.

CVE-2024-53480
Krytyczne

W systemie Beauty Parlour Management System v1.1 od Phpgurukul wykryto podatność na wstrzykiwanie SQL w pliku `login.php` poprzez parametr `emailcont`. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.

CVE-2024-46442
Krytyczne

Podatność w systemie BYD Dilink Headunit w wersjach od 3.0 do 4.0 umożliwia atakującym ominięcie uwierzytelniania poprzez atak brute-force. Luka wynika z braku ograniczeń liczby prób logowania.

CVE-2024-53866
KrytyczneEPSS 57%

Menadżer pakietów pnpm przed wersją 9.15.0 niewłaściwie obsługuje nadpisania i globalną pamięć podręczną. Nadpisania z jednego workspace'u przenikają do metadanych npm zapisanych w globalnej pamięci podręcznej, co może prowadzić do nieautoryzowanego wykonania kodu w innych workspace'ach.

CVE-2024-12286
Krytyczne

MOBATIME Network Master Clock - DTS 4801 umożliwia atakującym uzyskanie początkowego dostępu za pomocą SSH, wykorzystując domyślne dane logowania.

CVE-2024-45494
Krytyczne

W MSA FieldServer Gateway w wersjach od 5.0.0 do 6.5.2 (naprawione w 7.0.0) odkryto problem związany z używaniem wspólnego konta administracyjnego. Uwierzytelnienie tego użytkownika opiera się na niebezpiecznym, statycznym sekrecie, który jest wspólny dla wszystkich dotkniętych wersji oprogramowania.

CVE-2024-45493
Krytyczne

W MSA FieldServer Gateway w wersjach od 5.0.0 do 6.5.2 (naprawione w 7.0.0) odkryto problem, który pozwala atakującemu na ominięcie ograniczeń dostępu dla użytkowników wewnętrznych. Atakujący może uwierzytelnić się jako użytkownik wewnętrzny z sieci, jeśli zna jego hasło.

CVE-2024-54751
Krytyczne

W urządzeniu COMFAST CF-WR630AX w wersji v2.7.0.2 odkryto podatność na twardo zakodowane hasło w pliku /etc/shadow, co umożliwia atakującym logowanie się jako root.

CVE-2024-55586
Krytyczne

Nette Database w wersjach do 3.2.4 umożliwia wstrzykiwanie SQL w określonych sytuacjach, gdy nieufny filtr jest bezpośrednio przekazywany do metody where. Należy zauważyć, że dostawca twierdzi, iż jest to zamierzone zachowanie.

CVE-2024-47578
Krytyczne

Usługa dokumentów Adobe pozwala atakującemu z uprawnieniami administratora na wysłanie spreparowanego żądania z podatnej aplikacji webowej. Może to prowadzić do podatności typu Server-Side Request Forgery, umożliwiając atakującemu dostęp do wewnętrznych systemów za zaporami sieciowymi.

CVE-2024-46455
Krytyczne

Wersje unstructured do 0.14.2 są podatne na atak typu XML External Entity (XXE) poprzez XMLParser. Atak ten może prowadzić do ujawnienia wrażliwych danych lub wykonania nieautoryzowanych operacji.

CVE-2024-53441
Krytyczne

Problem w funkcji decryptCookie w pliku index.js biblioteki cookie-encrypter w wersji 1.0.1 umożliwia atakującym przeprowadzenie ataku typu bit flipping.

CVE-2024-48956
Krytyczne

Serviceware Processes w wersjach od 6.0 do 7.3 przed 7.4 umożliwia atakującym, którzy nie mają ważnej autoryzacji, wysyłanie specjalnie skonstruowanych żądań HTTP do punktu końcowego usługi, co prowadzi do zdalnego wykonania kodu.

PoprzedniaStrona 296 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS