CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-51788
Critical

Podatność CVE-2024-51788 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki w katalogu The Novel Design Store Directory, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 4.3.0 włącznie.

CVE-2021-35473
Critical

W LemonLDAP::NG przed wersją 2.0.12 odkryto problem związany z brakiem weryfikacji daty ważności tokenów dostępu w obsłudze OAuth2.0. Atakujący może wykorzystać przestarzały token dostępu z klienta OIDC do uzyskania dostępu do obsługi OAuth2.

CVE-2024-10871
Critical

Wtyczka Category Ajax Filter dla WordPressa jest podatna na atak Local File Inclusion we wszystkich wersjach do i włącznie z 2.8.2 poprzez parametr 'params[caf-post-layout]'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.

CVE-2024-10801
Critical

Wtyczka WordPress User Extra Fields jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji ajax_manage_file_chunk_upload() we wszystkich wersjach do 16.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-10589
Critical

Wtyczka Leopard - WordPress Offload Media dla WordPressa jest podatna na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji import_settings() we wszystkich wersjach do 3.1.1 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie Subskrybenta i wyżej, aktualizację dowolnych opcji na stronie WordPress.

CVE-2024-10547
Critical

Wtyczka WP Membership dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji user_profile_image_upload() we wszystkich wersjach do i włącznie z 1.6.2. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-10586
Critical

Wtyczka Debug Tool dla WordPressa jest podatna na tworzenie dowolnych plików z powodu braku sprawdzenia uprawnień w funkcji dbt_pull_image() oraz braku walidacji typu pliku we wszystkich wersjach do 2.2 włącznie. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików, takich jak pliki .php, które mogą być wykorzystane do zdalnego wykonania kodu.

CVE-2024-10284
Critical

Wtyczka CE21 Suite dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.2.0 włącznie. Problem wynika z twardo zakodowanego klucza szyfrującego w funkcji 'ce21_authentication_phrase'.

CVE-2024-48073
Critical

Urządzenie sunniwell HT3300 w wersjach przed 1.0.0.B022.2 jest podatne na niewłaściwe uprawnienia. Program /usr/local/bin/update, odpowiedzialny za aktualizację oprogramowania, ma ustawiony tryb wykonania sudo NOPASSWD, co stwarza ryzyko wstrzyknięcia poleceń przez atakującego.

CVE-2024-50811
Critical

Podatność CVE-2024-50811 dotyczy hopetree izone lts c011b48 i polega na wystąpieniu ataku typu server-side request forgery (SSRF) w funkcji aktywnego push, ponieważ plik \apps\tool\apis\bd_push.py nie filtruje bezpiecznie danych wejściowych użytkownika przez funkcje push_urls() i get_urls().

CVE-2024-50588
Critical

Podatność CVE-2024-50588 pozwala nieautoryzowanemu atakującemu z dostępem do lokalnej sieci biura medycznego na wykorzystanie znanych domyślnych poświadczeń do uzyskania zdalnego dostępu DBA do bazy danych Elefant Firebird. Atakujący może uzyskać dostęp do wrażliwych danych, w tym danych pacjentów i poświadczeń logowania.

CVE-2023-27195
Critical

Trimble TM4Web w wersji 22.2.0 pozwala nieautoryzowanym atakującym na dostęp do endpointu /inc/tm_ajax.msw?func=UserfromUUID&uuid= w celu pobrania ostatniego kodu dostępu rejestracyjnego. Atakujący mogą wykorzystać ten kod do rejestracji ważnego konta, w tym konta Administratora z pełnymi uprawnieniami.

CVE-2020-8007
Critical

Aplikacja internetowa pwrstudio ładowarki EV (w serwerze Circontrol Raption przez wersję 5.6.2) jest podatna na wstrzyknięcie poleceń systemowych poprzez trzy pola menu konfiguracyjnego: ntpserver0, ntpserver1 oraz pingip.

CVE-2019-20461
Critical

W urządzeniach Alecto IVM-100 z dnia 2019-11-12 odkryto problem związany z używaniem niestandardowego protokołu UDP do uruchamiania i kontrolowania usług wideo i audio. Protokół ten został częściowo odwrócony, co pozwala na nawiązanie połączenia z kamerą przy użyciu jedynie zakodowanego UID.

CVE-2019-20457
Critical

W urządzeniach Brother MFC-J491DW C1806180757 odkryto problem, który pozwala na uzyskanie hasha hasła interfejsu webowego drukarki bez autoryzacji. Nagłówek odpowiedzi z nieudanej próby logowania zwraca niekompletny cookie autoryzacyjny, który zawiera MD5 hash hasła w formacie szesnastkowym.

CVE-2024-20418
Critical

Podatność w interfejsie zarządzania opartym na sieci web w oprogramowaniu Cisco Unified Industrial Wireless dla punktów dostępowych Cisco Ultra-Reliable Wireless Backhaul (URWB) może umożliwić nieautoryzowanemu, zdalnemu atakującemu przeprowadzenie ataków typu injection komend z uprawnieniami roota na systemie operacyjnym. Problem wynika z niewłaściwej walidacji danych wejściowych w interfejsie zarządzania.

CVE-2024-9307
Critical

Wtyczka mFolio Lite dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień we wszystkich wersjach do 1.2.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych oraz przesyłanie plików EXE na serwer.

CVE-2024-51358
Critical

Wersja 2.6.1 serwera Linux Heimdall zawiera lukę, która pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez spreparowany skrypt przesłany do funkcji dodawania nowej aplikacji.

CVE-2024-48746
Critical

Problem w integracji Lens Visual z Power BI w wersji 4.0.0.3 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu przetwarzania języka naturalnego.

CVE-2024-47460
Critical

Podatność na wstrzykiwanie poleceń w usłudze CLI może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia poprzez wysyłanie specjalnie przygotowanych pakietów do portu UDP PAPI (protokół zarządzania punktami dostępowymi Aruba). Sukces w wykorzystaniu tej podatności umożliwia wykonanie dowolnego kodu jako użytkownik z uprawnieniami na systemie operacyjnym.

PreviousPage 304 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS