CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Pentaminds CuroVMS version 2.0.1 was found to have exposed credentials. This means authentication data (e.g., passwords, API keys) is stored or transmitted in a way that allows unauthorized reading.
Podatność CVE-2024-8259 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w programie NatraCar B2B Dealer Management. Problem ten dotyczy wersji programu dostępnych do 09.12.2024.
W podatności CVE-2024-54215 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie roninwp Revy. Problem dotyczy wersji Revy od n/a do 1.18 włącznie.
W podatności CVE-2024-53822 występuje nieograniczony upload plików o niebezpiecznym typie w Genetech Pie Register Premium. Problem ten dotyczy wersji Pie Register Premium przed 3.8.3.3.
Brak autoryzacji w wtyczce SeventhQueen Sweet Date umożliwia eskalację uprawnień. Problem ten dotyczy wersji Sweet Date od n/a do 3.7.3 włącznie.
W podatności CVE-2023-32117 występuje brak autoryzacji w aplikacji SoftLab Integrate Google Drive, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Integrate Google Drive od n/a do 1.1.99.
Pakiet POSIX::2008 w wersjach przed 0.24 dla Perla ma potencjalne przepełnienie bufora środowiskowego _execve50c.
MailCleaner w wersjach przed 28d913e ma domyślne wartości kluczy ssh_host_dsa_key, ssh_host_rsa_key oraz ssh_host_ed25519_key, które utrzymują się po instalacji. To może prowadzić do nieautoryzowanego dostępu do systemu.
Wtyczka WP Umbrella: Update Backup Restore & Monitoring dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do 2.17.0 włącznie, poprzez parametr 'filename' akcji 'umbrella-restore'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Zagrożony produkt jest podatny na wstrzykiwanie poleceń. Nieautoryzowany atakujący może wysłać polecenia za pomocą złośliwego żądania HTTP, co może prowadzić do zdalnego wykonania kodu.
Produkt jest podatny na przepełnienie bufora na stosie. Nieautoryzowany atakujący może wysłać złośliwe żądanie HTTP, które serwer WWW nieprawidłowo sprawdza pod względem rozmiaru wejścia przed skopiowaniem danych na stos, co może umożliwić zdalne wykonanie kodu.
W urządzeniu Ubiquiti U6-LR w wersji 6.6.65 odkryto podatność na twardo zakodowane hasło w pliku /etc/shadow, co umożliwia atakującym logowanie się jako root. Ubiquiti twierdzi, że nie ma podatności, ponieważ hasło powinno być ustawione po konfiguracji, a nie przed nią.
Podatność CVE-2024-54214 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki roninwp Revy, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Revy od n/a do 1.18 włącznie.
W podatności CVE-2024-53810 występuje brak autoryzacji w wtyczce N-Media Simple User Registration, co pozwala na dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem dotyczy wersji wtyczki od n/a do 5.5 włącznie.
Zidentyfikowano podatność w syngo.plaza VB30E (wszystkie wersje < VB30E_HF05), która polega na niewłaściwym sanitizowaniu danych wejściowych przed ich wysłaniem do serwera SQL. Atakujący z dostępem do aplikacji może wykorzystać tę podatność do wykonania złośliwych poleceń SQL, co może prowadzić do kompromitacji całej bazy danych.
Podatność CVE-2024-51815 dotyczy niewłaściwej kontroli generowania kodu w wtyczce s2Member autorstwa Cristiána Lávaque, co umożliwia atak typu Code Injection. Problem ten dotyczy wersji s2Member od n/a do 241114 włącznie.
Wtyczka WP Marka WordPress Auction Plugin wp-auctions zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.
Produkt jest podatny na ataki typu pass-the-hash w połączeniu z zakodowanymi na stałe poświadczeniami ukrytych poziomów użytkowników. Oznacza to, że atakujący może zalogować się jako ukryty użytkownik i uzyskać pełny dostęp do urządzenia.
Wtyczka SV100 Companion dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji settings_import() we wszystkich wersjach do 2.0.02 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.
W wersjach Open Robotics Robotic Operating System 2 (ROS2) oraz Nav2 humble odkryto podatność typu use-after-free w procesie nav2_amcl. Podatność ta jest wywoływana poprzez zdalne wysłanie żądania zmiany wartości dynamicznego parametru `/amcl max_beams`.

