Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-52474
Krytyczne

W module 'Ekspress Płatności' występuje podatność na SQL Injection, która pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji modułu od n/a do 1.1.8 włącznie.

CVE-2024-8672
Krytyczne

Wtyczka Widget Options dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 4.0.7 włącznie, poprzez funkcjonalność logiki wyświetlania. Problem wynika z braku filtrowania i sprawdzania uprawnień dla danych wejściowych przekazywanych do funkcji eval().

CVE-2024-11082
Krytyczne

Wtyczka Tumult Hype Animations dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji hypeanimations_panel() we wszystkich wersjach do 1.9.15 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-11925
Krytyczne

Wtyczka JobSearch WP Job Board dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika podczas weryfikacji adresu e-mail przez funkcję user_account_activation.

CVE-2024-50942
Krytyczne

W systemie qiwen-file w wersji 1.4.0 wykryto podatność na wstrzykiwanie SQL w komponencie /mapper/NoticeMapper.xml. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.

CVE-2024-11680
KrytyczneAktywnie exploitowaneEPSS 100%

W ProjectSend w wersjach przed r1720 występuje luka w uwierzytelnianiu. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądania HTTP do pliku options.php, co umożliwia nieautoryzowaną modyfikację konfiguracji aplikacji. Skuteczne wykorzystanie luki pozwala na tworzenie kont, wgrywanie webshelli oraz osadzanie złośliwego JavaScript.

CVE-2024-36248
Krytyczne

Klucze API dla niektórych usług chmurowych są zakodowane na stałe w głównym pliku binarnym. Szczegóły dotyczące dotkniętych produktów, numerów modeli i wersji można znaleźć w informacji dostarczonej przez odpowiednich dostawców.

CVE-2024-35244
Krytyczne

Istnieje kilka ukrytych kont, które mogą być używane przez inżynierów utrzymania. Znajomość haseł do tych kont, na przykład poprzez analizę zrzutów pamięci, umożliwia ich wykorzystanie do ponownej konfiguracji urządzenia.

CVE-2024-33610
Krytyczne

Pliki 'sessionlist.html' oraz 'sys_trayentryreboot.html' są dostępne bez autoryzacji. 'sessionlist.html' udostępnia informacje o sesjach zalogowanych użytkowników, w tym ciasteczka sesyjne, natomiast 'sys_trayentryreboot.html' umożliwia restart urządzenia.

CVE-2024-28038
Krytyczne

Interfejs webowy dotkniętych urządzeń nieprawidłowo przetwarza wartość ciasteczka, co prowadzi do przepełnienia bufora stosu. W szczególności, podanie zbyt długiego ciągu znaków do parametru MFPSESSIONID skutkuje przepełnieniem bufora stosu.

CVE-2024-50672
Krytyczne

W narzędziu Adapt Learning Adapt Authoring Tool w wersjach do 0.11.3 występuje podatność na atak typu NoSQL injection, która pozwala nieautoryzowanym atakującym na resetowanie haseł kont użytkowników i administratorów za pomocą funkcji 'Resetuj hasło'. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika, które są używane w zapytaniu funkcji find() w Mongoose.

CVE-2024-52787
Krytyczne

W metodzie upload_documents w libre-chat w wersji 0.0.6 występuje problem, który pozwala atakującym na wykonanie ataku typu path traversal poprzez dostarczenie spreparowanej nazwy pliku w przesyłanym pliku.

CVE-2024-9511
Krytyczne

Wtyczka FluentSMTP – WP SMTP Plugin dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 2.2.82, poprzez deserializację niezaufanych danych wejściowych w funkcji 'formatResult'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2024-10961
Krytyczne

Wtyczka Social Login dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 5.9.0. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.

CVE-2024-0138
Krytyczne

Menadżer podstawowy NVIDIA zawiera lukę w autoryzacji w komponencie CMDaemon. Skuteczne wykorzystanie tej podatności może prowadzić do wykonania kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.

CVE-2024-52034
Krytyczne

W myPRO Manager występuje podatność na wstrzykiwanie poleceń systemowych. Nieautoryzowany zdalny atakujący może wykorzystać parametr w poleceniu do wstrzyknięcia dowolnych poleceń systemowych.

CVE-2024-47407
Krytyczne

W myPRO Manager występuje problem z walidacją parametrów w poleceniach, co może być wykorzystane przez nieautoryzowanego zdalnego atakującego do wstrzykiwania dowolnych poleceń systemu operacyjnego.

CVE-2024-47138
Krytyczne

Interfejs administracyjny domyślnie nasłuchuje na wszystkich interfejsach na porcie TCP i nie wymaga uwierzytelnienia przy dostępie.

CVE-2024-37782
Krytyczne

W podatności CVE-2024-37782 zidentyfikowano lukę typu LDAP injection w stronie logowania Gladinet CentreStack w wersji 13.12.9934.54690. Atakujący mogą uzyskać dostęp do wrażliwych danych lub wykonać dowolne polecenia poprzez wstrzyknięcie spreparowanego ładunku do pola nazwy użytkownika.

CVE-2024-52723
KrytyczneEPSS 58%

W routerze TOTOLINK X6000R w wersji oprogramowania V9.4.0cu.1041_B20240224, w pliku shttpd, funkcja Uci_Set_Str jest używana bez odpowiedniego filtrowania parametrów. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń poprzez spreparowanie odpowiedniego ładunku.

PoprzedniaStrona 299 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS