CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-52474
Critical

W module 'Ekspress Płatności' występuje podatność na SQL Injection, która pozwala na przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji modułu od n/a do 1.1.8 włącznie.

CVE-2024-8672
Critical

Wtyczka Widget Options dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 4.0.7 włącznie, poprzez funkcjonalność logiki wyświetlania. Problem wynika z braku filtrowania i sprawdzania uprawnień dla danych wejściowych przekazywanych do funkcji eval().

CVE-2024-11082
Critical

Wtyczka Tumult Hype Animations dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji hypeanimations_panel() we wszystkich wersjach do 1.9.15 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-11925
Critical

Wtyczka JobSearch WP Job Board dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.7 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika podczas weryfikacji adresu e-mail przez funkcję user_account_activation.

CVE-2024-50942
Critical

A SQL injection vulnerability was discovered in qiwen-file version 1.4.0 within the /mapper/NoticeMapper.xml component. Attackers can exploit this flaw to execute unauthorized database queries.

CVE-2024-11680
CriticalActively exploitedEPSS 100%

ProjectSend versions prior to r1720 are affected by an improper authentication vulnerability. Remote, unauthenticated attackers can exploit this flaw by sending crafted HTTP requests to options.php, enabling unauthorized modification of the application's configuration. Successful exploitation allows attackers to create accounts, upload webshells, and embed malicious JavaScript.

CVE-2024-36248
Critical

Klucze API dla niektórych usług chmurowych są zakodowane na stałe w głównym pliku binarnym. Szczegóły dotyczące dotkniętych produktów, numerów modeli i wersji można znaleźć w informacji dostarczonej przez odpowiednich dostawców.

CVE-2024-35244
Critical

Istnieje kilka ukrytych kont, które mogą być używane przez inżynierów utrzymania. Znajomość haseł do tych kont, na przykład poprzez analizę zrzutów pamięci, umożliwia ich wykorzystanie do ponownej konfiguracji urządzenia.

CVE-2024-33610
Critical

Pliki 'sessionlist.html' oraz 'sys_trayentryreboot.html' są dostępne bez autoryzacji. 'sessionlist.html' udostępnia informacje o sesjach zalogowanych użytkowników, w tym ciasteczka sesyjne, natomiast 'sys_trayentryreboot.html' umożliwia restart urządzenia.

CVE-2024-28038
Critical

Interfejs webowy dotkniętych urządzeń nieprawidłowo przetwarza wartość ciasteczka, co prowadzi do przepełnienia bufora stosu. W szczególności, podanie zbyt długiego ciągu znaków do parametru MFPSESSIONID skutkuje przepełnieniem bufora stosu.

CVE-2024-50672
Critical

W narzędziu Adapt Learning Adapt Authoring Tool w wersjach do 0.11.3 występuje podatność na atak typu NoSQL injection, która pozwala nieautoryzowanym atakującym na resetowanie haseł kont użytkowników i administratorów za pomocą funkcji 'Resetuj hasło'. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika, które są używane w zapytaniu funkcji find() w Mongoose.

CVE-2024-52787
Critical

W metodzie upload_documents w libre-chat w wersji 0.0.6 występuje problem, który pozwala atakującym na wykonanie ataku typu path traversal poprzez dostarczenie spreparowanej nazwy pliku w przesyłanym pliku.

CVE-2024-9511
Critical

Wtyczka FluentSMTP – WP SMTP Plugin dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 2.2.82, poprzez deserializację niezaufanych danych wejściowych w funkcji 'formatResult'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2024-10961
Critical

Wtyczka Social Login dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 5.9.0. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.

CVE-2024-0138
Critical

Menadżer podstawowy NVIDIA zawiera lukę w autoryzacji w komponencie CMDaemon. Skuteczne wykorzystanie tej podatności może prowadzić do wykonania kodu, odmowy usługi, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.

CVE-2024-52034
Critical

W myPRO Manager występuje podatność na wstrzykiwanie poleceń systemowych. Nieautoryzowany zdalny atakujący może wykorzystać parametr w poleceniu do wstrzyknięcia dowolnych poleceń systemowych.

CVE-2024-47407
Critical

W myPRO Manager występuje problem z walidacją parametrów w poleceniach, co może być wykorzystane przez nieautoryzowanego zdalnego atakującego do wstrzykiwania dowolnych poleceń systemu operacyjnego.

CVE-2024-47138
Critical

Interfejs administracyjny domyślnie nasłuchuje na wszystkich interfejsach na porcie TCP i nie wymaga uwierzytelnienia przy dostępie.

CVE-2024-37782
Critical

W podatności CVE-2024-37782 zidentyfikowano lukę typu LDAP injection w stronie logowania Gladinet CentreStack w wersji 13.12.9934.54690. Atakujący mogą uzyskać dostęp do wrażliwych danych lub wykonać dowolne polecenia poprzez wstrzyknięcie spreparowanego ładunku do pola nazwy użytkownika.

CVE-2024-52723
CriticalEPSS 58%

In the TOTOLINK X6000R router running firmware version V9.4.0cu.1041_B20240224, the Uci_Set_Str function in the shttpd file is used without strict parameter filtering. An attacker can achieve arbitrary command execution by crafting a malicious payload.

PreviousPage 298 of 575Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS