CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W stitionai/devika występuje podatność na traversowanie ścieżek, szczególnie w funkcjonalności tworzenia projektów. W dotkniętej wersji beacf6edaa205a5a5370525407a6db45137873b3, nazwa projektu nie jest walidowana, co pozwala atakującemu na stworzenie projektu z odpowiednio skonstruowaną nazwą, która przemieszcza się po katalogach.
W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.
W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.
W wersji v5.0.2 invoke-ai/invokeai, interfejs API webowy `POST /api/v1/images/delete` jest podatny na usuwanie dowolnych plików. Ta podatność pozwala nieautoryzowanym atakującym na usunięcie dowolnych plików na serwerze, w tym krytycznych lub wrażliwych plików systemowych.
Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.2.0. Problem ten jest ściśle związany z trybem klastra Raft, który jest opcjonalną i nie domyślną funkcją.
Wtyczka Age Gate dla WordPressa jest podatna na lokalne włączenie plików PHP we wszystkich wersjach do i włącznie z 3.5.3 za pomocą parametru 'lang'. Umożliwia to nieautoryzowanym atakującym włączenie i wykonanie dowolnych plików PHP na serwerze.
Podatność CVE-2024-12016 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie CM News w wersjach do 6.0.
Problem w wersjach Termius od 9.9.0 do 9.16.0 umożliwia atakującemu znajdującemu się w bliskiej odległości wykonanie dowolnego kodu poprzez niebezpieczną konfigurację Electron Fuses.
Wtyczka File Away dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji upload() we wszystkich wersjach do 3.9.9.0.1. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed automatycznym logowaniem po rezerwacji oraz aktualizacją szczegółów profilu.
Motyw MinimogWP dla WordPressa jest podatny na lokalne włączenie plików we wszystkich wersjach do 3.7.0 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Wtyczki CozyStay i TinySalt dla WordPressa są podatne na wstrzyknięcie obiektu PHP we wszystkich wersjach do i włącznie 1.7.0 oraz 3.9.0, poprzez deserializację niezaufanego wejścia w funkcji 'ajax_handler'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.
W aplikacji mobilnej G-Net GNET APK w wersji 2.6.2 zidentyfikowano problem z twardo zakodowanymi danymi uwierzytelniającymi dla portów 9091 i 9092. Te dane umożliwiają nieautoryzowany dostęp do punktów końcowych API kamery samochodowej.
Na urządzeniach IROAD Dashcam V odkryto problem związany z używaniem niezarejestrowanej domeny publicznej jako wewnętrznej. Domena ta nie jest własnością IROAD, co stwarza ryzyko, że atakujący może ją zarejestrować i przechwycić wrażliwy ruch urządzenia.
Na urządzeniach ROADCAM X3 odkryto problem związany z aplikacją mobilną APK (Viidure), która zawiera zakodowane na stałe dane logowania FTP dla konta użytkownika FTPX. To umożliwia atakującym uzyskanie nieautoryzowanego dostępu i wyciągnięcie wrażliwych nagrań z urządzenia.
Na urządzeniach ROADCAM X3 odkryto problem związany z domyślnymi, jednolitymi danymi uwierzytelniającymi, które nie mogą być modyfikowane przez użytkowników. Ułatwia to atakującym uzyskanie nieautoryzowanego dostępu do wielu urządzeń.
W podatności CVE-2024-8997 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w interfejsie konfiguracyjnym Vestel EVC04. Problem dotyczy wersji interfejsu EVC04 przed V3.187 oraz V4.53.
Nieautoryzowany zdalny atakujący może uzyskać dostęp do API chmurowego z powodu braku uwierzytelnienia dla krytycznej funkcji w dotkniętych urządzeniach. Dostępność nie jest naruszona.
Problem z przechowywaniem danych kart NFC w zamku cyfrowym Dorset DG 201 H5_433WBSK_v2.2_220605 umożliwia atakującym tworzenie sklonowanych kart NFC, co pozwala na ominięcie procesu autoryzacji.

