CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność CVE-2024-52398 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w Halyra CDI collect-and-deliver-interface-for-woocommerce. Problem ten występuje w wersjach CDI od n/a do 5.5.3 włącznie.
W KASO v9.0 odkryto podatność na wstrzykiwanie SQL poprzez parametr person_id w ścieżce /cardcase/editcard.jsp.
Podatność typu Origin Validation Error w systemach kontroli obecności pracowników (PACS) oraz systemach zabezpieczeń dostępu (ACSS) firmy Dataprom umożliwia wstrzykiwanie ruchu. Problem ten dotyczy wersji przed rokiem 2024.
Wentylator nie przeprowadza odpowiednich kontroli integralności plików podczas przyjmowania aktualizacji oprogramowania. Umożliwia to atakującemu wymuszenie nieautoryzowanych zmian w ustawieniach konfiguracyjnych urządzenia oraz/lub kompromitację funkcjonalności urządzenia poprzez wgranie złośliwego lub nielegalnego pliku oprogramowania.
Port debugowania na interfejsie szeregowym wentylatora jest domyślnie włączony. Może to umożliwić atakującemu wysyłanie i odbieranie niezaszyfrowanych wiadomości przez ten port, co prowadzi do nieautoryzowanego ujawnienia informacji oraz niezamierzonych wpływów na ustawienia i wydajność urządzenia.
Hasło klinicysty oraz numer seryjny są wbudowane w wentylator w postaci niezaszyfrowanej. To może umożliwić atakującemu uzyskanie hasła z wentylatora i wykorzystanie go do nieautoryzowanego dostępu do urządzenia z uprawnieniami klinicysty.
Mikrokontroler wentylatora nie posiada ochrony pamięci. Atakujący może podłączyć się do wewnętrznego interfejsu JTAG i odczytać lub zapisać dane w pamięci flash za pomocą ogólnodostępnego narzędzia do debugowania, co może zakłócić działanie urządzenia i/lub spowodować nieautoryzowany dostęp do informacji.
Wentylator oraz komputer serwisowy nie posiadają wystarczających możliwości rejestrowania zdarzeń, co uniemożliwia wykrywanie złośliwej aktywności oraz późniejsze badania kryminalistyczne. Atakujący z dostępem do wentylatora lub komputera serwisowego może wprowadzać nieautoryzowane zmiany w ustawieniach wentylatora bez wykrycia.
Narzędzia oprogramowania używane przez personel serwisowy do testowania i kalibracji wentylatora nie obsługują uwierzytelniania użytkowników. Atakujący z dostępem do komputera serwisowego, na którym zainstalowane są te narzędzia, może uzyskać informacje diagnostyczne lub manipulować ustawieniami wentylatora oraz oprogramowaniem wbudowanym bez konieczności uwierzytelnienia.
Błąd konfiguracji w mechanizmie uwierzytelniania odcisków palców w Binance: BTC, Crypto i NFTS w wersji 2.85.4 umożliwia atakującym ominięcie uwierzytelnienia podczas dodawania nowego odcisku palca.
Niewłaściwa ochrona danych na interfejsie szeregowym wentylatora może umożliwić atakującemu wysyłanie i odbieranie wiadomości, co prowadzi do nieautoryzowanego ujawnienia informacji oraz niezamierzonych wpływów na ustawienia i wydajność urządzenia.
Brak limitu nieudanych prób logowania dla hasła klinicysty oraz hasła numeru seryjnego klinicysty umożliwia atakującym przeprowadzenie ataku typu brute-force. Taki atak może prowadzić do nieautoryzowanego dostępu do wentylatora oraz zmian w ustawieniach urządzenia.
Podatność CVE-2024-52370 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w Hive Support, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Hive Support od n/a do 1.1.1 włącznie.
Podatność CVE-2024-52369 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w KBucket, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji KBucket od n/a do 4.2.2.
Podatność związana z deserializacją niezaufanych danych w wtyczce Podlove Podcast Publisher dla WordPressa. Problem ten dotyczy wersji wtyczki od n/a do 4.1.15.
Podatność CVE-2024-52384 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w Sage AI: Chatbots, OpenAI GPT-4 Bulk Articles, Dalle-3 Image Generation. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
W podatności CVE-2024-52382 występuje brak autoryzacji w narzędziu Matix Popup Builder od medmatech, co umożliwia eskalację uprawnień. Problem dotyczy wersji Matix Popup Builder od n/a do 1.0.0 włącznie.
Podatność CVE-2024-52380 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Picsmize, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Picsmize od n/a do 1.0.0 włącznie.
Podatność CVE-2024-52379 dotyczy wtyczki kineticPay dla WooCommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2024-52377 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w aplikacji bdthemes Instant Image Generator. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

