Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2024-51793
Krytyczne

Podatność CVE-2024-51793 w RepairBuddy umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji RepairBuddy od n/a do 3.8115 włącznie.

CVE-2024-51792
Krytyczne

Podatność CVE-2024-51792 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Audio Record, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Audio Record od n/a do 1.0 włącznie.

CVE-2024-51791
Krytyczne

Podatność CVE-2024-51791 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Made I.T. Forms, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Forms od n/a do 2.8.0 włącznie.

CVE-2024-51790
Krytyczne

Podatność CVE-2024-51790 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki HB AUDIO GALLERY, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji HB AUDIO GALLERY od n/a do 3.0 włącznie.

CVE-2024-51789
Krytyczne

Podatność CVE-2024-51789 dotyczy klasyfikacji obrazów UjW0L, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

CVE-2024-51788
Krytyczne

Podatność CVE-2024-51788 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki w katalogu The Novel Design Store Directory, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 4.3.0 włącznie.

CVE-2021-35473
Krytyczne

W LemonLDAP::NG przed wersją 2.0.12 odkryto problem związany z brakiem weryfikacji daty ważności tokenów dostępu w obsłudze OAuth2.0. Atakujący może wykorzystać przestarzały token dostępu z klienta OIDC do uzyskania dostępu do obsługi OAuth2.

CVE-2024-10871
Krytyczne

Wtyczka Category Ajax Filter dla WordPressa jest podatna na atak Local File Inclusion we wszystkich wersjach do i włącznie z 2.8.2 poprzez parametr 'params[caf-post-layout]'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-10801
Krytyczne

Wtyczka WordPress User Extra Fields jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji ajax_manage_file_chunk_upload() we wszystkich wersjach do 16.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-10589
Krytyczne

Wtyczka Leopard - WordPress Offload Media dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji import_settings() we wszystkich wersjach do 3.1.1 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, aktualizację dowolnych opcji na stronie WordPress.

CVE-2024-10547
Krytyczne

Wtyczka WP Membership dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji user_profile_image_upload() we wszystkich wersjach do i włącznie z 1.6.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-10586
Krytyczne

Wtyczka Debug Tool dla WordPressa jest podatna na tworzenie dowolnych plików z powodu braku sprawdzenia uprawnień w funkcji dbt_pull_image() oraz braku walidacji typu pliku we wszystkich wersjach do 2.2 włącznie. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików, takich jak pliki .php, które mogą być wykorzystane do zdalnego wykonania kodu.

CVE-2024-10284
Krytyczne

Wtyczka CE21 Suite dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.2.0 włącznie. Problem wynika z twardo zakodowanego klucza szyfrującego w funkcji 'ce21_authentication_phrase'.

CVE-2024-48073
Krytyczne

Urządzenie sunniwell HT3300 w wersjach przed 1.0.0.B022.2 jest podatne na niewłaściwe uprawnienia. Program /usr/local/bin/update, odpowiedzialny za aktualizację oprogramowania, ma ustawiony tryb wykonania sudo NOPASSWD, co stwarza ryzyko wstrzyknięcia poleceń przez atakującego.

CVE-2024-50811
Krytyczne

Podatność CVE-2024-50811 dotyczy hopetree izone lts c011b48 i polega na wystąpieniu ataku typu server-side request forgery (SSRF) w funkcji aktywnego push, ponieważ plik \apps\tool\apis\bd_push.py nie filtruje bezpiecznie danych wejściowych użytkownika przez funkcje push_urls() i get_urls().

CVE-2024-50588
Krytyczne

Podatność CVE-2024-50588 pozwala nieautoryzowanemu atakującemu z dostępem do lokalnej sieci biura medycznego na wykorzystanie znanych domyślnych poświadczeń do uzyskania zdalnego dostępu DBA do bazy danych Elefant Firebird. Atakujący może uzyskać dostęp do wrażliwych danych, w tym danych pacjentów i poświadczeń logowania.

CVE-2023-27195
Krytyczne

Trimble TM4Web w wersji 22.2.0 pozwala nieautoryzowanym atakującym na dostęp do endpointu /inc/tm_ajax.msw?func=UserfromUUID&uuid= w celu pobrania ostatniego kodu dostępu rejestracyjnego. Atakujący mogą wykorzystać ten kod do rejestracji ważnego konta, w tym konta Administratora z pełnymi uprawnieniami.

CVE-2020-8007
Krytyczne

Aplikacja internetowa pwrstudio ładowarki EV (w serwerze Circontrol Raption przez wersję 5.6.2) jest podatna na wstrzyknięcie poleceń systemowych poprzez trzy pola menu konfiguracyjnego: ntpserver0, ntpserver1 oraz pingip.

CVE-2019-20461
Krytyczne

W urządzeniach Alecto IVM-100 z dnia 2019-11-12 odkryto problem związany z używaniem niestandardowego protokołu UDP do uruchamiania i kontrolowania usług wideo i audio. Protokół ten został częściowo odwrócony, co pozwala na nawiązanie połączenia z kamerą przy użyciu jedynie zakodowanego UID.

CVE-2019-20457
Krytyczne

W urządzeniach Brother MFC-J491DW C1806180757 odkryto problem, który pozwala na uzyskanie hasha hasła interfejsu webowego drukarki bez autoryzacji. Nagłówek odpowiedzi z nieudanej próby logowania zwraca niekompletny cookie autoryzacyjny, który zawiera MD5 hash hasła w formacie szesnastkowym.

PoprzedniaStrona 304 z 576Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS