CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-5752
Critical

W stitionai/devika występuje podatność na traversowanie ścieżek, szczególnie w funkcjonalności tworzenia projektów. W dotkniętej wersji beacf6edaa205a5a5370525407a6db45137873b3, nazwa projektu nie jest walidowana, co pozwala atakującemu na stworzenie projektu z odpowiednio skonstruowaną nazwą, która przemieszcza się po katalogach.

CVE-2024-12044
Critical

W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.

CVE-2024-12029
Critical

W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.

CVE-2024-11042
Critical

W wersji v5.0.2 invoke-ai/invokeai, interfejs API webowy `POST /api/v1/images/delete` jest podatny na usuwanie dowolnych plików. Ta podatność pozwala nieautoryzowanym atakującym na usunięcie dowolnych plików na serwerze, w tym krytycznych lub wrażliwych plików systemowych.

CVE-2024-47552
Critical

Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.2.0. Problem ten jest ściśle związany z trybem klastra Raft, który jest opcjonalną i nie domyślną funkcją.

CVE-2025-2505
Critical

Wtyczka Age Gate dla WordPressa jest podatna na lokalne włączenie plików PHP we wszystkich wersjach do i włącznie z 3.5.3 za pomocą parametru 'lang'. Umożliwia to nieautoryzowanym atakującym włączenie i wykonanie dowolnych plików PHP na serwerze.

CVE-2024-12016
Critical

Podatność CVE-2024-12016 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie CM News w wersjach do 6.0.

CVE-2024-57061
Critical

Problem w wersjach Termius od 9.9.0 do 9.16.0 umożliwia atakującemu znajdującemu się w bliskiej odległości wykonanie dowolnego kodu poprzez niebezpieczną konfigurację Electron Fuses.

CVE-2025-2512
Critical

Wtyczka File Away dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji upload() we wszystkich wersjach do 3.9.9.0.1. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.

CVE-2024-13442
Critical

Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed automatycznym logowaniem po rezerwacji oraz aktualizacją szczegółów profilu.

CVE-2024-13790
Critical

Motyw MinimogWP dla WordPressa jest podatny na lokalne włączenie plików we wszystkich wersjach do 3.7.0 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-13410
Critical

Wtyczki CozyStay i TinySalt dla WordPressa są podatne na wstrzyknięcie obiektu PHP we wszystkich wersjach do i włącznie 1.7.0 oraz 3.9.0, poprzez deserializację niezaufanego wejścia w funkcji 'ajax_handler'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2024-12922
Critical

Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.

CVE-2025-30137
Critical

W aplikacji mobilnej G-Net GNET APK w wersji 2.6.2 zidentyfikowano problem z twardo zakodowanymi danymi uwierzytelniającymi dla portów 9091 i 9092. Te dane umożliwiają nieautoryzowany dostęp do punktów końcowych API kamery samochodowej.

CVE-2025-30132
Critical

Na urządzeniach IROAD Dashcam V odkryto problem związany z używaniem niezarejestrowanej domeny publicznej jako wewnętrznej. Domena ta nie jest własnością IROAD, co stwarza ryzyko, że atakujący może ją zarejestrować i przechwycić wrażliwy ruch urządzenia.

CVE-2025-30123
Critical

Na urządzeniach ROADCAM X3 odkryto problem związany z aplikacją mobilną APK (Viidure), która zawiera zakodowane na stałe dane logowania FTP dla konta użytkownika FTPX. To umożliwia atakującym uzyskanie nieautoryzowanego dostępu i wyciągnięcie wrażliwych nagrań z urządzenia.

CVE-2025-30122
Critical

Na urządzeniach ROADCAM X3 odkryto problem związany z domyślnymi, jednolitymi danymi uwierzytelniającymi, które nie mogą być modyfikowane przez użytkowników. Ułatwia to atakującym uzyskanie nieautoryzowanego dostępu do wielu urządzeń.

CVE-2024-8997
Critical

W podatności CVE-2024-8997 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w interfejsie konfiguracyjnym Vestel EVC04. Problem dotyczy wersji interfejsu EVC04 przed V3.187 oraz V4.53.

CVE-2024-23943
Critical

Nieautoryzowany zdalny atakujący może uzyskać dostęp do API chmurowego z powodu braku uwierzytelnienia dla krytycznej funkcji w dotkniętych urządzeniach. Dostępność nie jest naruszona.

CVE-2025-25650
Critical

Problem z przechowywaniem danych kart NFC w zamku cyfrowym Dorset DG 201 H5_433WBSK_v2.2_220605 umożliwia atakującym tworzenie sklonowanych kart NFC, co pozwala na ominięcie procesu autoryzacji.

PreviousPage 274 of 573Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS