CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka JobSearch WP Job Board dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika podczas weryfikacji adresu e-mail przez funkcję user_account_activation.
A SQL injection vulnerability was discovered in qiwen-file version 1.4.0 within the /mapper/NoticeMapper.xml component. Attackers can exploit this flaw to execute unauthorized database queries.
ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.
Klucze API dla niektórych usług chmurowych są zakodowane na stałe w głównym pliku binarnym. Szczegóły dotyczące dotkniętych produktów, numerów modeli i wersji można znaleźć w informacji dostarczonej przez odpowiednich dostawców.
Istnieje kilka ukrytych kont, które mogą być używane przez inżynierów utrzymania. Znajomość haseł do tych kont, na przykład poprzez analizę zrzutów pamięci, umożliwia ich wykorzystanie do ponownej konfiguracji urządzenia.
Pliki 'sessionlist.html' oraz 'sys_trayentryreboot.html' są dostępne bez autoryzacji. 'sessionlist.html' udostępnia informacje o sesjach zalogowanych użytkowników, w tym ciasteczka sesyjne, natomiast 'sys_trayentryreboot.html' umożliwia restart urządzenia.
Interfejs webowy dotkniętych urządzeń nieprawidłowo przetwarza wartość ciasteczka, co prowadzi do przepełnienia bufora stosu. W szczególności, podanie zbyt długiego ciągu znaków do parametru MFPSESSIONID skutkuje przepełnieniem bufora stosu.
W narzędziu Adapt Learning Adapt Authoring Tool w wersjach do 0.11.3 występuje podatność na atak typu NoSQL injection, która pozwala nieautoryzowanym atakującym na resetowanie haseł kont użytkowników i administratorów za pomocą funkcji 'Resetuj hasło'. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika, które są używane w zapytaniu funkcji find() w Mongoose.
W metodzie upload_documents w libre-chat w wersji 0.0.6 występuje problem, który pozwala atakującym na wykonanie ataku typu path traversal poprzez dostarczenie spreparowanej nazwy pliku w przesyłanym pliku.
Wtyczka FluentSMTP – WP SMTP Plugin dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 2.2.82, poprzez deserializację niezaufanych danych wejściowych w funkcji 'formatResult'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Wtyczka Social Login dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 5.9.0. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Menadżer podstawowy NVIDIA zawiera lukę w autoryzacji w komponencie CMDaemon. Skuteczne wykorzystanie tej podatności może prowadzić do wykonania kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.
W myPRO Manager występuje podatność na wstrzykiwanie poleceń systemowych. Nieautoryzowany zdalny atakujący może wykorzystać parametr w poleceniu do wstrzyknięcia dowolnych poleceń systemowych.
W myPRO Manager występuje problem z walidacją parametrów w poleceniach, co może być wykorzystane przez nieautoryzowanego zdalnego atakującego do wstrzykiwania dowolnych poleceń systemu operacyjnego.
Interfejs administracyjny domyślnie nasłuchuje na wszystkich interfejsach na porcie TCP i nie wymaga uwierzytelnienia przy dostępie.
W podatności CVE-2024-37782 zidentyfikowano lukę typu LDAP injection w stronie logowania Gladinet CentreStack w wersji 13.12.9934.54690. Atakujący mogą uzyskać dostęp do wrażliwych danych lub wykonać dowolne polecenia poprzez wstrzyknięcie spreparowanego ładunku do pola nazwy użytkownika.
In the TOTOLINK X6000R router running firmware version V9.4.0cu.1041_B20240224, the Uci_Set_Str function in the shttpd file is used without strict parameter filtering. An attacker can achieve arbitrary command execution by crafting a malicious payload.
An arbitrary file upload vulnerability in the \Users\username.BlackBoard component of BlackBoard v2.0.0.2 allows attackers to upload a crafted .xml file, leading to arbitrary code execution.
An arbitrary file upload vulnerability was found in the \Roaming\Omega component of OmegaT v6.0.1. It allows an attacker to execute arbitrary code by uploading a crafted .conf file.
InfluxDB OSS w wersjach 2.x do 2.7.11 przechowuje token operatora administracyjnego w domyślnej organizacji, co pozwala autoryzowanym użytkownikom z dostępem do zasobów autoryzacji tej organizacji na jego odzyskanie. Wersje 1.x, Enterprise, Cloud, Cloud Dedicated oraz Clustered nie są dotknięte tą podatnością.

