CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W przeglądarce Firefox 133 i kliencie pocztowym Thunderbird 133 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu.
Podatność w Crater Invoice pozwala nieautoryzowanemu atakującemu, który zna APP_KEY, na zdalne wykonanie poleceń na serwerze poprzez manipulację ciasteczkiem laravel_session. Wykorzystanie tej podatności opiera się na uzyskaniu tajnego APP_KEY, co umożliwia deszyfrowanie i manipulację danymi sesji.
W podatności CVE-2024-56290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.2.
Podatność CVE-2024-56284 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce SSL Wireless SMS Notification w wersjach od n/a do 3.5.0.
Podatność CVE-2024-56278 dotyczy wtyczki WP Ultimate Exporter od Smackcoders Inc., która pozwala na zdalne dołączanie plików PHP z powodu niewłaściwej kontroli generowania kodu. Problem ten występuje w wersjach od n/a do 2.9.1 włącznie.
W podatności CVE-2024-49649 występuje niewłaściwe kontrolowanie nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.
Podatność na deserializację niezaufanych danych w WPGuppy wpguppy-lite umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPGuppy od n/a do 1.1.0 włącznie.
Podatność CVE-2024-43243 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji themeglow JobBoard. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Wtyczka SakolaWP do systemu zarządzania szkołą w WordPressie jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.8 włącznie. Problem wynika z funkcji rejestracji, która nie ogranicza właściwie ról, jakie użytkownik może przyjąć podczas rejestracji.
Wtyczka PayU CommercePro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.8.3 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika w punktach końcowych REST API, co umożliwia nieautoryzowanym atakującym tworzenie nowych kont administracyjnych.
Wtyczka SEO LAT Auto Post dla WordPressa jest podatna na nadpisywanie plików z powodu braku sprawdzenia uprawnień w akcji AJAX remote_update we wszystkich wersjach do 2.2.1 włącznie. To umożliwia nieautoryzowanym atakującym nadpisanie pliku seo-beginner-auto-post.php, co może prowadzić do zdalnego wykonania kodu.
Wtyczka Themes Coder – Create Android & iOS Apps For Your Woocommerce Site dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.3.4 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła za pomocą funkcji update_user_profile().
Aplikacja com.remi.colorphone.callscreen.calltheme.callerscreen (znana jako Color Phone: Call Screen Theme) w wersji 21.1.9 dla systemu Android umożliwia dowolnej aplikacji (bez wymaganych uprawnień) wykonywanie połączeń telefonicznych bez interakcji użytkownika, poprzez wysłanie odpowiednio skonstruowanego intencji do komponentu com.remi.colorphone.callscreen.calltheme.callerscreen.dialer.DialerActivity.
Aplikacja com.glitter.caller.screen (znana jako iCaller, Caller Theme & Dialer) w wersji 1.1 dla systemu Android umożliwia dowolnej aplikacji (bez wymaganych uprawnień) wykonywanie połączeń telefonicznych bez interakcji użytkownika, poprzez wysłanie odpowiednio skonstruowanego intencji za pomocą komponentu com.glitter.caller.screen.DialerActivity.
SeaCMS V13.1 is vulnerable to Incorrect Access Control. A logic flaw can be exploited by an attacker to allow any user to recharge members indefinitely.
W oprogramowaniu SecureAge Security Suite w wersjach 7.0.x przed 7.0.38, 7.1.x przed 7.1.11, 8.0.x przed 8.0.18 oraz 8.1.x przed 8.1.18 odkryto podatność na eskalację uprawnień, która umożliwia dowolne tworzenie, modyfikowanie i usuwanie plików.
Wtyczka Dynamics 365 Integration dla WordPressa jest podatna na zdalne wykonanie kodu oraz nieautoryzowany odczyt plików we wszystkich wersjach do i włącznie z 1.3.23 z powodu wstrzyknięcia szablonów po stronie serwera Twig. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.
W WukongCRM-11.0-JAVA w wersji 11.3.3 występuje podatność na nieautoryzowane przesyłanie plików w komponencie /adminUser/updateImg, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.
Routery komórkowe, bezpieczne routery oraz urządzenia zabezpieczające sieci firmy Moxa są dotknięte krytyczną podatnością CVE-2024-9140. Podatność ta umożliwia wstrzykiwanie poleceń systemowych z powodu niewłaściwie ograniczonych poleceń, co może pozwolić atakującym na wykonanie dowolnego kodu.
Podatność CVE-2024-56249 dotyczy WPMasterToolKit, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 1.13.1 włącznie.

