CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W podatności CVE-2024-54261 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w usłudze TAX SERVICE Electronic HDM. Problem dotyczy wersji od n/a do 1.2.2 włącznie.
W formularzu recepty na okulary w aplikacji dugudlabs występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji formularza recepty na okulary od n/a do 4.0.18 włącznie.
W podatności CVE-2024-54234 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Limit Login Attempts. Problem dotyczy wersji wtyczki od n/a do 5.5 włącznie.
Wtyczka JS Help Desk – Best Help Desk & Support Plugin zawiera lukę w autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów zabezpieczeń dostępu. Problem dotyczy wersji od n/a do 2.7.1.
Nieprawidłowe przetwarzanie danych wejściowych w nagłówku 'Host' pozwala nieautoryzowanemu atakującemu na zapisanie ładunku w logach aplikacji webowej. Gdy administrator przegląda logi za pomocą standardowej funkcjonalności aplikacji, umożliwia to wykonanie ładunku, co prowadzi do ataku typu Stored XSS (Cross-Site Scripting).
ComfyUI-Ace-Nodes jest podatny na wstrzykiwanie kodu. Węzeł ACE_ExpressionEval zawiera funkcję eval() w swoim punkcie wejścia, która akceptuje dowolne dane kontrolowane przez użytkownika, co pozwala na wykonanie arbitralnego kodu na serwerze.
ComfyUI-Bmad-Nodes jest podatny na wstrzykiwanie kodu. Problem wynika z ominięcia walidacji w niestandardowych węzłach BuildColorRangeHSVAdvanced, FilterContour i FindContour, gdzie w funkcji wejściowej każdego węzła wywoływana jest funkcja eval, co może prowadzić do wykonania dowolnego kodu na serwerze.
Wtyczka Super Backup & Clone - Migrate dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku oraz braku sprawdzenia uprawnień w funkcji ibk_restore_migrate_check() we wszystkich wersjach do i włącznie z 2.3.3. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W aplikacji mobilnej (com.transsion.applock) występuje luka logiczna, która może umożliwić ominięcie hasła aplikacji.
http4k is a functional toolkit for Kotlin HTTP applications. Prior to version 6.50.0.0, there was a potential XXE (XML External Entity Injection) vulnerability that could allow attackers to read local sensitive information on the server, trigger SSRF attacks, and even execute code under certain circumstances.
Problem wynika z braku walidacji pola pip w żądaniu POST wysyłanym do punktu końcowego /customnode/install, który jest używany do instalacji niestandardowych węzłów dodawanych do serwera przez rozszerzenie. Umożliwia to atakującemu skonstruowanie żądania, które wywołuje instalację pakietu lub adresu URL kontrolowanego przez użytkownika, co prowadzi do zdalnego wykonania kodu (RCE) na serwerze.
Wtyczka Vayu Blocks – Gutenberg Blocks dla WordPress i WooCommerce jest podatna na nieautoryzowaną instalację i aktywację dowolnych wtyczek z powodu braku sprawdzenia uprawnień w funkcji tp_install() we wszystkich wersjach do i włącznie z 1.1.1. Umożliwia to nieautoryzowanym atakującym instalację i aktywację dowolnych wtyczek, co może prowadzić do zdalnego wykonania kodu, jeśli inna podatna wtyczka jest zainstalowana i aktywowana.
Wtyczka Sign In With Google dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.8.0. Problem wynika z braku odpowiednich kontroli wartości null w funkcji 'authenticate_user' przy ustawianiu tokena dostępu i informacji o użytkowniku.
Problem dotyczy niewłaściwego zarządzania pamięcią, które zostało poprawione w różnych wersjach systemów operacyjnych i przeglądarki Safari. Wykorzystanie złośliwie przygotowanej treści internetowej może prowadzić do uszkodzenia pamięci.
Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.
Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.
Problem został rozwiązany poprzez poprawę kontroli granic. Występująca podatność może prowadzić do nieoczekiwanego zakończenia działania systemu lub wykonania dowolnego kodu w oprogramowaniu układowym DCP.
W kliencie Mullvad VPN w wersjach 2024.6 (Desktop), 2024.8 (iOS) oraz 2024.8-beta1 (Android) może dojść do wyczerpania alternatywnego stosu obsługi wyjątków, co prowadzi do zapisu poza granicami sterty w funkcji enable() w pliku exception_logging/unix.rs. Problem ten jest znany jako MLLVD-CR-24-01.
W bibliotece GStreamer odkryto podatność typu Use-After-Free (UAF) dotycząca przetwarzania elementów CodecPrivate w strumieniach Matroska. Problem występuje w funkcji gst_matroska_demux_parse_stream, gdzie zwolniona pamięć jest ponownie odczytywana, co prowadzi do naruszenia bezpieczeństwa.
W bibliotece GStreamer zidentyfikowano podatność typu OOB-read w funkcji gst_wavparse_smpl_chunk. Funkcja ta próbuje odczytać 4 bajty z danych z przesunięciem 12 bajtów, nie sprawdzając, czy rozmiar bufora danych jest wystarczający, co może prowadzić do odczytu poza jego granicami.

