CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-54261
Critical

W podatności CVE-2024-54261 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w usłudze TAX SERVICE Electronic HDM. Problem dotyczy wersji od n/a do 1.2.2 włącznie.

CVE-2024-54239
Critical

W formularzu recepty na okulary w aplikacji dugudlabs występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji formularza recepty na okulary od n/a do 4.0.18 włącznie.

CVE-2024-54234
Critical

W podatności CVE-2024-54234 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Limit Login Attempts. Problem dotyczy wersji wtyczki od n/a do 5.5 włącznie.

CVE-2022-46838
Critical

Wtyczka JS Help Desk – Best Help Desk & Support Plugin zawiera lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów zabezpieczeń dostępu. Problem dotyczy wersji od n/a do 2.7.1.

CVE-2024-11986
Critical

Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).

CVE-2024-21577
Critical

ComfyUI-Ace-Nodes jest podatny na wstrzykiwanie kodu. Węzeł ACE_ExpressionEval zawiera funkcję eval() w swoim punkcie wejścia, która akceptuje dowolne dane kontrolowane przez użytkownika, co pozwala na wykonanie arbitralnego kodu na serwerze.

CVE-2024-21576
Critical

ComfyUI-Bmad-Nodes jest podatny na wstrzykiwanie kodu. Problem wynika z ominięcia walidacji w niestandardowych węzłach BuildColorRangeHSVAdvanced, FilterContour i FindContour, gdzie w funkcji wejściowej każdego węzła wywoływana jest funkcja eval, co może prowadzić do wykonania dowolnego kodu na serwerze.

CVE-2024-9290
Critical

Wtyczka Super Backup & Clone - Migrate dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku oraz braku sprawdzenia uprawnień w funkcji ibk_restore_migrate_check() we wszystkich wersjach do i włącznie z 2.3.3. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-12603
Critical

W aplikacji mobilnej (com.transsion.applock) występuje luka logiczna, która może umożliwić ominięcie hasła aplikacji.

CVE-2024-55875
CriticalEPSS 92%

http4k is a functional toolkit for Kotlin HTTP applications. Prior to version 6.50.0.0, there was a potential XXE (XML External Entity Injection) vulnerability that could allow attackers to read local sensitive information on the server, trigger SSRF attacks, and even execute code under certain circumstances.

CVE-2024-21574
Critical

Problem wynika z braku walidacji pola pip w żądaniu POST wysyłanym do punktu końcowego /customnode/install, który jest używany do instalacji niestandardowych węzłów dodawanych do serwera przez rozszerzenie. Umożliwia to atakującemu skonstruowanie żądania, które wywołuje instalację pakietu lub adresu URL kontrolowanego przez użytkownika, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze.

CVE-2024-10124
Critical

Wtyczka Vayu Blocks – Gutenberg Blocks dla WordPress i WooCommerce jest podatna na nieautoryzowaną instalację i aktywację dowolnych wtyczek z powodu braku sprawdzenia uprawnień w funkcji tp_install() we wszystkich wersjach do i włącznie z 1.1.1. Umożliwia to nieautoryzowanym atakującym instalację i aktywację dowolnych wtyczek, co może prowadzić do zdalnego wykonania kodu, jeśli inna podatna wtyczka jest zainstalowana i aktywowana.

CVE-2024-11015
Critical

Wtyczka Sign In With Google dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.8.0. Problem wynika z braku odpowiednich kontroli wartości null w funkcji 'authenticate_user' przy ustawianiu tokena dostępu i informacji o użytkowniku.

CVE-2024-54534
Critical

Problem dotyczy niewłaściwego zarządzania pamięcią, które zostało poprawione w różnych wersjach systemów operacyjnych i przeglądarki Safari. Wykorzystanie złośliwie przygotowanej treści internetowej może prowadzić do uszkodzenia pamięci.

CVE-2024-44299
Critical

Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.

CVE-2024-44242
Critical

Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.

CVE-2024-44241
Critical

Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.

CVE-2024-55884
Critical

W kliencie Mullvad VPN w wersjach 2024.6 (Desktop), 2024.8 (iOS) oraz 2024.8-beta1 (Android) może dojść do wyczerpania alternatywnego stosu obsługi wyjątków, co prowadzi do zapisu poza granicami sterty w funkcji enable() w pliku exception_logging/unix.rs. Problem ten jest znany jako MLLVD-CR-24-01.

CVE-2024-47834
Critical

W bibliotece GStreamer odkryto podatność typu Use-After-Free (UAF) dotycząca przetwarzania elementów CodecPrivate w strumieniach Matroska. Problem występuje w funkcji gst_matroska_demux_parse_stream, gdzie zwolniona pamięć jest ponownie odczytywana, co prowadzi do naruszenia bezpieczeństwa.

CVE-2024-47777
Critical

W bibliotece GStreamer zidentyfikowano podatność typu OOB-read w funkcji gst_wavparse_smpl_chunk. Funkcja ta próbuje odczytać 4 bajty z danych z przesunięciem 12 bajtów, nie sprawdzając, czy rozmiar bufora danych jest wystarczający, co może prowadzić do odczytu poza jego granicami.

PreviousPage 293 of 574Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS