CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-54724
Critical

PHPYun before version 7.0.2 is vulnerable to remote code execution through backdoor-restricted arbitrary file writing and file inclusion.

CVE-2024-46505
Critical

W wersji 2.4 Infoblox BloxOne odkryto lukę w logice biznesowej spowodowaną podatnościami w grubej aplikacji klienckiej.

CVE-2025-22542
Critical

W podatności CVE-2025-22542 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wirtualnym bocie Ofek Nakar. Problem dotyczy wersji Virtual Bot od n/a do 1.0.0 włącznie.

CVE-2025-22540
Critical

W podatności CVE-2025-22540 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w module subskrypcji e-mail seballero. Problem dotyczy wersji Emailing Subscription od n/a do 1.4.1 włącznie.

CVE-2025-22504
Critical

Podatność CVE-2025-22504 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w formularzach internetowych 4ECPS, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji 4ECPS Web Forms od n/a do 0.2.18 włącznie.

CVE-2024-11642
Critical

Wtyczka Post Grid Master – Custom Post Types, Taxonomies & Ajax Filter Everything z WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 3.4.12 włącznie, poprzez funkcję 'locate_template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-12802
Critical

W SonicWALL SSL-VPN występuje możliwość obejścia wieloskładnikowego uwierzytelniania (MFA) w określonych przypadkach, związana z oddzielnym traktowaniem nazw kont UPN (User Principal Name) i SAM (Security Account Manager) przy integracji z Microsoft Active Directory. To pozwala na niezależną konfigurację MFA dla każdej metody logowania, co może umożliwić atakującym obejście MFA poprzez wykorzystanie alternatywnej nazwy konta.

CVE-2024-43663
Critical

Wiele podatności typu buffer overflow występuje w kilku binariach CGI stacji ładowania. Problem ten dotyczy oprogramowania Iocharger dla ładowarek modelu AC przed wersją 24120701.

CVE-2024-43661
Critical

Biblioteka <redacted>.so, używana przez <redacted>, jest podatna na przepełnienie bufora w kodzie obsługującym usuwanie certyfikatów. Przepełnienie bufora można wywołać, podając długą ścieżkę pliku do akcji <redacted> w binarnym pliku <redacted>.exe lub w skrypcie CGI <redacted>.sh.

CVE-2024-40765
Critical

W SonicOS występuje podatność na przepełnienie bufora opartego na liczbach całkowitych w module IPSec. Zdalny atakujący, w określonych warunkach, może spowodować awarię usługi (DoS) oraz potencjalnie wykonać dowolny kod, wysyłając specjalnie przygotowany ładunek IKEv2.

CVE-2024-40762
Critical

Wykorzystanie kryptograficznie słabego generatora liczb pseudolosowych (PRNG) w generatorze tokenów uwierzytelniających SSLVPN SonicOS, który w niektórych przypadkach może być przewidywalny przez atakującego, co potencjalnie prowadzi do ominięcia uwierzytelnienia.

CVE-2025-22137
Critical

Podatność w Pingvin Share umożliwia uwierzytelnionym lub nieuwierzytelnionym użytkownikom (jeśli dozwolone są anonimowe udostępnienia) nadpisywanie dowolnych plików na serwerze, w tym wrażliwych plików systemowych, za pomocą żądań HTTP POST. Problem został naprawiony w wersji 1.4.0.

CVE-2024-11635
Critical

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.24.12 poprzez parametr cookie 'wfu_ABSPATH'. Umożliwia to nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2024-11613
Critical

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.

CVE-2024-54819
Critical

I, Librarian w wersjach do 5.11.1 jest podatny na atak typu Server-Side Request Forgery (SSRF) z powodu niewłaściwej walidacji danych wejściowych w pliku classes/security/validation.php.

CVE-2024-35532
Critical

W podatności XXE (XML External Entity) w Intersec Geosafe-ea w wersjach 2022.12, 2022.13 i 2022.14, atakujący mogą przeprowadzać odczyt dowolnych plików z uprawnieniami działającego procesu, wykonywać żądania SSRF lub powodować Denial of Service (DoS) za pomocą nieokreślonych wektorów.

CVE-2022-41573
Critical

W Ovidentia 8.3 zidentyfikowano problem związany z funkcją przesyłania plików, która nie blokuje przesyłania plików wykonywalnych. Użytkownik może przesłać plik .png zawierający kod PHP, a następnie zmienić jego nazwę na .php, co umożliwia zdalne wykonanie kodu.

CVE-2024-55414
Critical

W sterowniku SmSerl64.sys w Motorola SM56 Modem WDM Driver v6.12.23.0 występuje podatność, która pozwala użytkownikom o niskich uprawnieniach na mapowanie pamięci fizycznej za pomocą specjalnie przygotowanych żądań IOCTL. Może to prowadzić do eskalacji uprawnień, wykonania kodu z wysokimi uprawnieniami oraz ujawnienia informacji.

CVE-2024-50660
CriticalEPSS 54%

A file upload bypass vulnerability in AdPortal 3.0.39 allows a remote attacker to execute arbitrary code via the file upload functionality.

CVE-2024-50658
CriticalEPSS 53%

A Server-Side Template Injection (SSTI) vulnerability was found in AdPortal 3.0.39. A remote attacker can exploit the shippingAsBilling and firstname parameters in the updateuserinfo.html file to execute arbitrary code.

PreviousPage 287 of 574Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS