CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność CVE-2024-49688 dotyczy deserializacji niezaufanych danych w systemie ARPrice, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach ARPrice od n/a do 4.1.3 włącznie.
W podatności CVE-2024-49655 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie ARPrice w wersjach od n/a do 4.1.3.
Podatność związana z nieprawidłowym przypisaniem uprawnień w InspiryThemes Easy Real Estate umożliwia eskalację uprawnień. Problem dotyczy wersji Easy Real Estate od n/a do 2.2.9 włącznie.
Wtyczka Adifier System dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.1.7 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło, przez funkcję adifier_recover().
Podatność typu Cross-Site Request Forgery (CSRF) w Harsh iSpring Embedder umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji iSpring Embedder od n/a do 1.0 włącznie.
Wtyczka WP Options Editor w wersjach od n/a do 1.1 zawiera podatność typu Cross-Site Request Forgery (CSRF), która umożliwia eskalację uprawnień. Problem ten dotyczy wtyczki stworzonej przez Mike'a Selandera.
A stack overflow vulnerability was discovered in RE11S v1.11 via the pppUserName parameter in the formPPPoESetup function.
A command injection vulnerability was discovered in RE11S firmware version v1.11 within the /goform/formAccept component. An attacker can remotely execute arbitrary system commands.
A stack overflow vulnerability was discovered in RE11S v1.11 in the formWlSiteSurvey function via the selSSID parameter.
A command injection vulnerability was discovered in RE11S v1.11 via the L2TPUserName parameter at /goform/setWAN. An attacker can remotely execute arbitrary system commands.
A command injection vulnerability was discovered in RE11S v1.11 via the command parameter at /goform/mp. An attacker can remotely execute arbitrary system commands.
A stack overflow vulnerability was discovered in RE11S v1.11 via the pptpUserName parameter in the setWAN function. This flaw could allow an attacker to execute arbitrary code or cause a denial of service.
airPASS od NetVision Information ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym uzyskać dostęp do określonej funkcjonalności administracyjnej w celu pobrania wszystkich kont i haseł.
airPASS od NetVision Information posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Oprogramowanie do zdalnej pomocy SimpleHelp w wersji 5.5.7 i wcześniejszych ma podatność, która pozwala technikom o niskich uprawnieniach na tworzenie kluczy API z nadmiernymi uprawnieniami. Klucze te mogą być wykorzystane do eskalacji uprawnień do roli administratora serwera.
W urządzeniu HI-SCAN 6040i Hitrax HX-03-19-I odkryto twardo zakodowane dane uwierzytelniające, które umożliwiają dostęp do wsparcia technicznego i serwisu dostawcy.
W Sentry, narzędziu do śledzenia błędów i monitorowania wydajności, odkryto krytyczną podatność w implementacji SAML SSO. Umożliwia ona atakującemu przejęcie dowolnego konta użytkownika przy użyciu złośliwego dostawcy tożsamości SAML oraz innej organizacji na tej samej instancji Sentry.
W systemie rezerwacji kursów ComMotion występuje podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji systemu od n/a do 6.0.6.
Podatność CVE-2025-22782 dotyczy menedżera listy cen WR Price List Manager dla WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
A heap-based buffer overflow vulnerability was found in the rsync daemon due to improper handling of attacker-controlled checksum lengths (s2length). When MAX_DIGEST_LEN exceeds the fixed SUM_LENGTH (16 bytes), an attacker can write out of bounds in the sum2 buffer.

