Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W module 'Ekspress Płatności' występuje podatność na SQL Injection, która pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji modułu od n/a do 1.1.8 włącznie.
Wtyczka Widget Options dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 4.0.7 włącznie, poprzez funkcjonalność logiki wyświetlania. Problem wynika z braku filtrowania i sprawdzania uprawnień dla danych wejściowych przekazywanych do funkcji eval().
Wtyczka Tumult Hype Animations dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji hypeanimations_panel() we wszystkich wersjach do 1.9.15 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka JobSearch WP Job Board dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika podczas weryfikacji adresu e-mail przez funkcję user_account_activation.
W systemie qiwen-file w wersji 1.4.0 wykryto podatność na wstrzykiwanie SQL w komponencie /mapper/NoticeMapper.xml. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.
W ProjectSend w wersjach przed r1720 występuje luka w uwierzytelnianiu. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądania HTTP do pliku options.php, co umożliwia nieautoryzowaną modyfikację konfiguracji aplikacji. Skuteczne wykorzystanie luki pozwala na tworzenie kont, wgrywanie webshelli oraz osadzanie złośliwego JavaScript.
Klucze API dla niektórych usług chmurowych są zakodowane na stałe w głównym pliku binarnym. Szczegóły dotyczące dotkniętych produktów, numerów modeli i wersji można znaleźć w informacji dostarczonej przez odpowiednich dostawców.
Istnieje kilka ukrytych kont, które mogą być używane przez inżynierów utrzymania. Znajomość haseł do tych kont, na przykład poprzez analizę zrzutów pamięci, umożliwia ich wykorzystanie do ponownej konfiguracji urządzenia.
Pliki 'sessionlist.html' oraz 'sys_trayentryreboot.html' są dostępne bez autoryzacji. 'sessionlist.html' udostępnia informacje o sesjach zalogowanych użytkowników, w tym ciasteczka sesyjne, natomiast 'sys_trayentryreboot.html' umożliwia restart urządzenia.
Interfejs webowy dotkniętych urządzeń nieprawidłowo przetwarza wartość ciasteczka, co prowadzi do przepełnienia bufora stosu. W szczególności, podanie zbyt długiego ciągu znaków do parametru MFPSESSIONID skutkuje przepełnieniem bufora stosu.
W narzędziu Adapt Learning Adapt Authoring Tool w wersjach do 0.11.3 występuje podatność na atak typu NoSQL injection, która pozwala nieautoryzowanym atakującym na resetowanie haseł kont użytkowników i administratorów za pomocą funkcji 'Resetuj hasło'. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika, które są używane w zapytaniu funkcji find() w Mongoose.
W metodzie upload_documents w libre-chat w wersji 0.0.6 występuje problem, który pozwala atakującym na wykonanie ataku typu path traversal poprzez dostarczenie spreparowanej nazwy pliku w przesyłanym pliku.
Wtyczka FluentSMTP – WP SMTP Plugin dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 2.2.82, poprzez deserializację niezaufanych danych wejściowych w funkcji 'formatResult'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wtyczka Social Login dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 5.9.0. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Menadżer podstawowy NVIDIA zawiera lukę w autoryzacji w komponencie CMDaemon. Skuteczne wykorzystanie tej podatności może prowadzić do wykonania kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.
W myPRO Manager występuje podatność na wstrzykiwanie poleceń systemowych. Nieautoryzowany zdalny atakujący może wykorzystać parametr w poleceniu do wstrzyknięcia dowolnych poleceń systemowych.
W myPRO Manager występuje problem z walidacją parametrów w poleceniach, co może być wykorzystane przez nieautoryzowanego zdalnego atakującego do wstrzykiwania dowolnych poleceń systemu operacyjnego.
Interfejs administracyjny domyślnie nasłuchuje na wszystkich interfejsach na porcie TCP i nie wymaga uwierzytelnienia przy dostępie.
W podatności CVE-2024-37782 zidentyfikowano lukę typu LDAP injection w stronie logowania Gladinet CentreStack w wersji 13.12.9934.54690. Atakujący mogą uzyskać dostęp do wrażliwych danych lub wykonać dowolne polecenia poprzez wstrzyknięcie spreparowanego ładunku do pola nazwy użytkownika.
W routerze TOTOLINK X6000R w wersji oprogramowania V9.4.0cu.1041_B20240224, w pliku shttpd, funkcja Uci_Set_Str jest używana bez odpowiedniego filtrowania parametrów. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń poprzez spreparowanie odpowiedniego ładunku.

