CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Problem w kontrakcie inteligentnym PepeGxng, który może być uruchamiany na blockchainie Ethereum, pozwala zdalnym atakującym na wywarcie nieokreślonego wpływu za pomocą funkcji Owned.setOwner. Należy zauważyć, że jest to kwestionowane przez strony trzecie, ponieważ wpływ jest ograniczony do wywołań funkcji.
Wersje Delta Electronics InfraSuite Device Master przed 1.0.12 są podatne na lukę deserializacji, która dotyczy Device-Gateway. Może to umożliwić deserializację dowolnych obiektów .NET przed uwierzytelnieniem.
Wtyczka W3SPEEDSTER dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 7.26 włącznie, poprzez parametr 'script' funkcji hookBeforeStartOptimization(). Problem wynika z przekazywania danych dostarczonych przez użytkownika do funkcji eval().
Podatność CVE-2024-50511 dotyczy wtyczki WP donimedia carousel w wersjach od n/a do 1.0.1, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
Podatność CVE-2024-50510 dotyczy wtyczki AR For Woocommerce, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 6.3 włącznie.
Podatność CVE-2024-50507 dotyczy deserializacji niezaufanych danych w module DS.DownloadList w Daschmi, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji DS.DownloadList od n/a do 1.3 włącznie.
Podatność CVE-2024-50503 w Deryck User Toolkit umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten dotyczy wersji User Toolkit od n/a do 1.2.3 włącznie.
Wersja 5.8.16 i niższe PluXml zawierają podatność na zdalne wykonanie kodu (RCE) w komponencie /PluXml/core/admin/parametres_edittpl.php, która pozwala atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie spreparowanego ładunku do szablonu.
Podatność CVE-2024-48206 dotyczy deserializacji niezaufanych danych w chainer w wersji 7.8.1.post1, co prowadzi do wykonania dowolnego kodu.
Wtyczka Crypto dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.18 włącznie. Problem wynika z ograniczonego wywołania metody w funkcji 'crypto_connect_ajax_process::log_in', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.
Wtyczka Crypto dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.19 włącznie. Problem wynika z braku walidacji użytkownika w funkcji 'crypto_connect_ajax_process::register', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.
W PegaPoll występuje luka związana z brakiem autoryzacji, która pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji PegaPoll od n/a do 1.0.2 włącznie.
W podatności CVE-2024-50485 występuje nieprawidłowe przypisanie uprawnień w systemie Exam Matrix, co umożliwia eskalację uprawnień. Problem dotyczy wersji Exam Matrix od n/a do 1.5 włącznie.
W GRÜN Software Group GmbH GRÜN spendino Spendenformular występuje luka związana z brakiem autoryzacji, która umożliwia eskalację uprawnień. Problem ten dotyczy wersji GRÜN spendino Spendenformular od n/a do 1.0.1 włącznie.
W podatności CVE-2024-50475 występuje brak autoryzacji w stronie rejestracji Scott Gamon, co umożliwia eskalację uprawnień. Problem dotyczy wersji strony rejestracji od n/a do 1.0 włącznie.
Podatność CVE-2024-50473 dotyczy Ajar Productions Ajar in5 Embed, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 3.1.3 włącznie.
Podatność CVE-2024-50427 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w SurveyJS, co może prowadzić do poważnych zagrożeń bezpieczeństwa. Problem ten dotyczy wersji SurveyJS od n/a do 1.9.136.
Podatność CVE-2024-50420 dotyczy aDirectory, umożliwiając nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten występuje w wersjach od n/a do 1.3 włącznie.
Podatność CVE-2024-50494 dotyczy braku ograniczeń przy przesyłaniu plików o niebezpiecznym typie w bramce płatności Sudan Payment Gateway dla WooCommerce, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 1.2.2.
Podatność CVE-2024-50493 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w systemie Automatic Translation. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

