CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W wersjach Open Robotics Robotic Operating System 2 (ROS2) oraz Nav2 humble odkryto podatność na przepełnienie bufora w procesie nav2_amcl. Podatność ta jest wywoływana poprzez wysłanie spreparowanego pliku .yaml.
W wersjach Open Robotics Robotic Operating System 2 (ROS2) oraz Nav2 humble odkryto podatność na przepełnienie bufora w procesie nav2_amcl. Podatność ta jest wywoływana poprzez wysłanie spreparowanego pliku .yaml.
Whapa w wersji 1.59 jest podatny na atak typu Command Injection poprzez specjalnie przygotowaną nazwę pliku w komponencie raportów HTML.
DTStack Taier w wersji 1.4.0 umożliwia zdalnym atakującym określenie parametru jobName w funkcji listNames konsoli, co prowadzi do podatności na wstrzyknięcie SQL.
Oprogramowanie Oxide control plane w wersjach przed 5 umożliwia ataki typu SSRF (Server-Side Request Forgery). Tego rodzaju podatność pozwala atakującemu na wysyłanie żądań do wewnętrznych zasobów serwera, co może prowadzić do ujawnienia wrażliwych danych.
STMicroelectronics SPC58 jest podatny na brak mechanizmu ochrony dla alternatywnego interfejsu sprzętowego. Kod działający jako Supervisor na mikrosterownikach PowerPC SPC58 może wyłączyć jednostkę ochrony pamięci systemowej, uzyskując pełny dostęp do chronionych zasobów.
Podatność CVE-2024-51555 dotyczy urządzeń Aspect, które można uzyskać dostęp przy użyciu publicznie dostępnych domyślnych danych logowania, ponieważ system nie wymaga od instalatora zmiany tych danych. Dotyczy to produktów ABB ASPECT - Enterprise v3.07.02, NEXUS Series v3.07.02 oraz MATRIX Series v3.07.02.
Podatność CVE-2024-54221 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w usłudze FAT Services Booking w wersjach od n/a do 5.6.
Problem w urządzeniu INOVANCE AM401_CPU1608TPTN umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję ExecuteUserProgramUpgrade.
Niebezpieczna deserializacja w Hodoku w wersjach od 2.3.0 do 2.3.2 umożliwia atakującym wykonanie dowolnego kodu.
Podatność CVE-2024-52544 pozwala nieautoryzowanemu atakującemu na wywołanie przepełnienia bufora na stosie w usłudze DP (port TCP 3500). Problem ten został rozwiązany w wersji oprogramowania układowego 2.800.0000000.8.R.20241111.
W systemie zarządzania magazynem wms-zeqp w wersji 2.20.9.1 występuje nieprawidłowa kontrola dostępu spowodowana ponownym użyciem wartości tokena systemu zeqp.
Podatność CVE-2024-52476 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Fediverse Embeds, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Fediverse Embeds od n/a do 1.5.3.
Podatność typu Buffer Overflow w SunBK201 umicat do wersji 0.3.2, naprawiona w wersji 0.3.3, umożliwia atakującemu wykonanie dowolnego kodu poprzez funkcję power(uct_int_t x, uct_int_t n) w pliku src/uct_upstream.c.
W wersji nodemcu przed v3.0.0-release_20240225 odkryto przepełnienie całkowite w funkcji getnum w pliku /modules/struct.c.
W Quick.CMS w wersji 6.7 występuje podatność na przejście do absolutnej ścieżki, która może umożliwić zdalnym użytkownikom ominięcie zamierzonych ograniczeń i pobranie dowolnego pliku, jeśli ma on odpowiednie uprawnienia poza skonfigurowanym katalogiem dokumentów na serwerze. Wykorzystanie tej podatności pozwala atakującemu na usunięcie plików przechowywanych na serwerze z powodu braku odpowiedniej weryfikacji danych wejściowych dostarczonych przez użytkownika.
Routery serii FutureNet NXR dostarczane przez firmę Century Systems Co., Ltd. mają interfejsy REST-API, które są domyślnie wyłączone w konfiguracji fabrycznej. Jednakże, po włączeniu urządzenia, interfejsy REST-API są niespodziewanie włączane, jeśli aktywowany jest serwer http (GUI) lub uwierzytelnianie sieciowe.
DreamMaker od Interinfo posiada podatność typu Path Traversal, która nie ogranicza typów przesyłanych plików. Umożliwia to nieautoryzowanym zdalnym atakującym przesyłanie dowolnych plików do dowolnego katalogu, co prowadzi do wykonania dowolnego kodu poprzez przesyłanie webshelli.
Podatność CVE-2024-52490 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Pathomation. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-52475 dotyczy platformy automatyzacji Wawp, która pozwala na obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach Wawp od n/a do poniżej 3.0.18.

