CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Oprogramowanie do zarządzania farmaceutycznego Huang Yaoshi w wersji do 16.0 umożliwia przesyłanie dowolnych plików poprzez wykorzystanie nazwy pliku .asp w elemencie fileName w żądaniu SOAP do /XSDService.asmx.
W narzędziu Agency Toolkit występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji od n/a do 1.0.23 włącznie.
Podatność typu Path Traversal w wtyczce wplms_plugin dla WPLMS umożliwia atakującym dostęp do nieautoryzowanych plików w systemie. Problem ten dotyczy wersji WPLMS od n/a do poniżej 1.9.9.5.
Wtyczka wplms_plugin w VibeThemes WPLMS zawiera podatność na obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji WPLMS od n/a do 1.9.9.
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce wplms_plugin dla WPLMS umożliwia eskalację uprawnień. Problem dotyczy wersji WPLMS od n/a do 1.9.9 włącznie.
W VibeThemes VibeBP występuje podatność na nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji VibeBP od n/a do 1.9.9.4.1.
W podatności CVE-2024-56205 występuje nieprawidłowe przypisanie uprawnień w SunnyKai AI Magic, co umożliwia eskalację uprawnień. Problem dotyczy wersji AI Magic od n/a do 1.0.4 włącznie.
Podatność związana z nieprawidłowym przypisaniem uprawnień w Simple Dashboard pozwala na eskalację uprawnień. Problem dotyczy wersji Simple Dashboard od n/a do 2.0 włącznie.
Podatność CVE-2024-56064 dotyczy wtyczki WP SuperBackup, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji WP SuperBackup od n/a do 2.3.3.
Wtyczka wplms_plugin w VibeThemes WPLMS ma podatność na nieograniczone przesyłanie plików niebezpiecznego typu, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji WPLMS od n/a do 1.9.9.
Wtyczka wplms_plugin w VibeThemes WPLMS zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji WPLMS od n/a do poniżej 1.9.9.5.3.
W podatności CVE-2024-56039 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w VibeThemes VibeBP. Problem dotyczy wersji VibeBP od n/a do poniżej 1.9.9.7.7.
System Elektronicznego Zarządzania Dokumentami Oficjalnymi od 2100 Technology posiada podatność na obejście uwierzytelniania. Mimo że produkt stosuje białą listę adresów IP dla API używanego do zapytań o tokeny użytkowników, nieautoryzowani zdalni atakujący mogą oszukać serwer, aby uzyskać tokeny dowolnych użytkowników, które mogą być następnie wykorzystane do logowania się do systemu.
Podatność związana z nieprawidłowym przypisaniem uprawnień w sslplugins SSL Wireless SMS Notification umożliwia eskalację uprawnień. Problem ten dotyczy wersji SSL Wireless SMS Notification od n/a do 3.6.0 włącznie.
Simofa to narzędzie do automatyzacji budowy i wdrażania statycznych stron internetowych. Przed wersją 0.2.7, z powodu błędu projektowego w klasie RouteLoader, niektóre trasy API mogły być publicznie dostępne, gdy powinny wymagać uwierzytelnienia. Ta podatność została naprawiona w wersji 0.2.7.
Tecnick TCExam jest podatny na atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań do bazy danych.
Tiki Wiki CMS jest podatny na atak typu OS Command Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemowych. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych na serwerze.
W aplikacji Kurmi Provisioning Suite w wersji 7.9.0.33 odkryto problem związany z nagłówkiem X-Forwarded-For. Podczas uwierzytelniania aplikacja może zarejestrować fałszywy adres IP z tego nagłówka zamiast rzeczywistego adresu IP użytkownika.
W SimplCommerce występuje podatność na przepełnienie całkowite w funkcjonalności koszyka zakupowego. Problem dotyczy parametru ilości w metodzie AddToCart kontrolera CartController.
W podatności CVE-2024-8950 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na przeprowadzenie ataku typu Blind SQL Injection w systemie Piramit Automation firmy Arne Informatics. Problem dotyczy wersji przed 27.09.2024.

