CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-0247
Critical

W przeglądarce Firefox 133 i kliencie pocztowym Thunderbird 133 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu.

CVE-2024-55556
Critical

Podatność w Crater Invoice pozwala nieautoryzowanemu atakującemu, który zna APP_KEY, na zdalne wykonanie poleceń na serwerze poprzez manipulację ciasteczkiem laravel_session. Wykorzystanie tej podatności opiera się na uzyskaniu tajnego APP_KEY, co umożliwia deszyfrowanie i manipulację danymi sesji.

CVE-2024-56290
Critical

W podatności CVE-2024-56290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.2.

CVE-2024-56284
Critical

Podatność CVE-2024-56284 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce SSL Wireless SMS Notification w wersjach od n/a do 3.5.0.

CVE-2024-56278
Critical

Podatność CVE-2024-56278 dotyczy wtyczki WP Ultimate Exporter od Smackcoders Inc., która pozwala na zdalne dołączanie plików PHP z powodu niewłaściwej kontroli generowania kodu. Problem ten występuje w wersjach od n/a do 2.9.1 włącznie.

CVE-2024-49649
Critical

W podatności CVE-2024-49649 występuje niewłaściwe kontrolowanie nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.

CVE-2024-49222
Critical

Podatność na deserializację niezaufanych danych w WPGuppy wpguppy-lite umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPGuppy od n/a do 1.1.0 włącznie.

CVE-2024-43243
Critical

Podatność CVE-2024-43243 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji themeglow JobBoard. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-12470
Critical

Wtyczka SakolaWP do systemu zarządzania szkołą w WordPressie jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.8 włącznie. Problem wynika z funkcji rejestracji, która nie ogranicza właściwie ról, jakie użytkownik może przyjąć podczas rejestracji.

CVE-2024-12264
Critical

Wtyczka PayU CommercePro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.8.3 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika w punktach końcowych REST API, co umożliwia nieautoryzowanym atakującym tworzenie nowych kont administracyjnych.

CVE-2024-12252
Critical

Wtyczka SEO LAT Auto Post dla WordPressa jest podatna na nadpisywanie plików z powodu braku sprawdzenia uprawnień w akcji AJAX remote_update we wszystkich wersjach do 2.2.1 włącznie. To umożliwia nieautoryzowanym atakującym nadpisanie pliku seo-beginner-auto-post.php, co może prowadzić do zdalnego wykonania kodu.

CVE-2024-12402
Critical

Wtyczka Themes Coder – Create Android & iOS Apps For Your Woocommerce Site dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.3.4 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła za pomocą funkcji update_user_profile().

CVE-2024-53932
Critical

Aplikacja com.remi.colorphone.callscreen.calltheme.callerscreen (znana jako Color Phone: Call Screen Theme) w wersji 21.1.9 dla systemu Android umożliwia dowolnej aplikacji (bez wymaganych uprawnień) wykonywanie połączeń telefonicznych bez interakcji użytkownika, poprzez wysłanie odpowiednio skonstruowanego intencji do komponentu com.remi.colorphone.callscreen.calltheme.callerscreen.dialer.DialerActivity.

CVE-2024-53931
Critical

Aplikacja com.glitter.caller.screen (znana jako iCaller, Caller Theme & Dialer) w wersji 1.1 dla systemu Android umożliwia dowolnej aplikacji (bez wymaganych uprawnień) wykonywanie połączeń telefonicznych bez interakcji użytkownika, poprzez wysłanie odpowiednio skonstruowanego intencji za pomocą komponentu com.glitter.caller.screen.DialerActivity.

CVE-2024-54879
CriticalEPSS 55%

SeaCMS V13.1 is vulnerable to Incorrect Access Control. A logic flaw can be exploited by an attacker to allow any user to recharge members indefinitely.

CVE-2024-46622
Critical

W oprogramowaniu SecureAge Security Suite w wersjach 7.0.x przed 7.0.38, 7.1.x przed 7.1.11, 8.0.x przed 8.0.18 oraz 8.1.x przed 8.1.18 odkryto podatność na eskalację uprawnień, która umożliwia dowolne tworzenie, modyfikowanie i usuwanie plików.

CVE-2024-12583
Critical

Wtyczka Dynamics 365 Integration dla WordPressa jest podatna na zdalne wykonanie kodu oraz nieautoryzowany odczyt plików we wszystkich wersjach do i włącznie z 1.3.23 z powodu wstrzyknięcia szablonów po stronie serwera Twig. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.

CVE-2024-55078
Critical

W WukongCRM-11.0-JAVA w wersji 11.3.3 występuje podatność na nieautoryzowane przesyłanie plików w komponencie /adminUser/updateImg, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.

CVE-2024-9140
Critical

Routery komórkowe, bezpieczne routery oraz urządzenia zabezpieczające sieci firmy Moxa są dotknięte krytyczną podatnością CVE-2024-9140. Podatność ta umożliwia wstrzykiwanie poleceń systemowych z powodu niewłaściwie ograniczonych poleceń, co może pozwolić atakującym na wykonanie dowolnego kodu.

CVE-2024-56249
Critical

Podatność CVE-2024-56249 dotyczy WPMasterToolKit, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 1.13.1 włącznie.

PreviousPage 288 of 574Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS