CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
An arbitrary file upload vulnerability in the \Users\username.BlackBoard component of BlackBoard v2.0.0.2 allows attackers to upload a crafted .xml file, leading to arbitrary code execution.
An arbitrary file upload vulnerability was found in the \Roaming\Omega component of OmegaT v6.0.1. It allows an attacker to execute arbitrary code by uploading a crafted .conf file.
InfluxDB OSS w wersjach 2.x do 2.7.11 przechowuje token operatora administracyjnego w domyślnej organizacji, co pozwala autoryzowanym użytkownikom z dostępem do zasobów autoryzacji tej organizacji na jego odzyskanie. Wersje 1.x, Enterprise, Cloud, Cloud Dedicated oraz Clustered nie są dotknięte tą podatnością.
W urządzeniach Kasda LinkSmart Router KW5515 w wersji 1.7 i wcześniejszych występuje problem, który pozwala uwierzytelnionemu zdalnemu atakującemu na wykonanie dowolnych poleceń systemu operacyjnego za pomocą parametrów cgi.
Wielokrotne podatności na wstrzykiwanie poleceń systemowych w routerze Kasda LinkSmart KW6512 w wersji <= v1.3 umożliwiają uwierzytelnionemu zdalnemu atakującemu wykonywanie dowolnych poleceń systemowych za pomocą różnych parametrów cgi.
Podatność na deserializację niezaufanych danych w Geolocator masikonis umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Geolocator od n/a do 1.1 włącznie.
W podatności CVE-2024-52442 występuje nieprawidłowe przypisanie uprawnień w systemie UserPlus, co umożliwia eskalację uprawnień. Problem ten dotyczy wersji UserPlus od n/a do 2.0 włącznie.
W podatności 'Prototype Pollution' w aplikacji Quick Learn autorstwa Rajesh Thanoch, występuje niewłaściwe kontrolowanie modyfikacji atrybutów prototypu obiektu, co pozwala na wstrzykiwanie obiektów. Problem dotyczy wersji Quick Learn od n/a do 1.0.1 włącznie.
Podatność CVE-2024-52440 dotyczy deserializacji niezaufanych danych w wtyczce Xpresslane Fast Checkout dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.0.0 włącznie.
Podatność na deserializację niezaufanych danych w zespole Mark O'Donnell Team Rosters umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Team Rosters od n/a do 4.8.2 włącznie.
Wersje serwera M-Files przed 24.11 mają lukę w autoryzacji LDAP, która pozwala na ominięcie uwierzytelniania. Umożliwia to użytkownikom logowanie się bez hasła, jeśli serwer LDAP jest skonfigurowany w sposób podatny.
A buffer overflow vulnerability was discovered in the 'fromSetSysTime' function of Tenda AC6 v2.0 router with firmware v15.03.06.50. An attacker could exploit this flaw to execute arbitrary code or cause a denial of service.
Podatność na przesyłanie plików w Xi'an Daxi Information technology OfficeWeb365 w wersjach 8.6.1.0 i 7.18.23.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą komponentu pw/savedraw.
Versa Director wykorzystuje PostgreSQL do przechowywania danych operacyjnych i konfiguracyjnych, a domyślna konfiguracja ma wspólne hasło dla wszystkich instancji. Dodatkowo, PostgreSQL jest skonfigurowany do nasłuchiwania na wszystkich interfejsach sieciowych, co umożliwia nieautoryzowanemu atakującemu dostęp do bazy danych oraz eskalację uprawnień.
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Exclusive Content Password Protect umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji wtyczki od n/a do 1.1.0 włącznie.
Podatność typu Cross-Site Request Forgery (CSRF) w HuangYe WuDeng Hacklog DownloadManager umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Hacklog DownloadManager od n/a do 2.1.4 włącznie.
W wersji 8.2.0 AVSCMS odkryto słabe domyślne dane logowania dla konta Administratora. To może umożliwić nieautoryzowany dostęp do systemu.
Wersja 8.2.0 AVSCMS zawiera podatność umożliwiającą przesyłanie dowolnych plików poprzez komponent /main/fileupload.php, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.
Cobbler, serwer instalacyjny Linux, ma lukę w autoryzacji, która występuje od wersji 3.0.0 do 3.2.2 oraz 3.3.6. Funkcja `utils.get_shared_secret()` zawsze zwraca `-1`, co pozwala każdemu na połączenie się z XML-RPC Cobblera jako użytkownik `''` z hasłem `-1` i wprowadzenie dowolnych zmian.
Podatność CVE-2024-52434 dotyczy deserializacji niezaufanych danych w wtyczce Popup by Supsystic, co umożliwia wstrzykiwanie poleceń. Problem ten dotyczy wersji wtyczki od n/a do 1.10.29.

