CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Podatność CVE-2024-50484 dotyczy formularza Multi Purpose Mail Form, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-50482 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w wtyczce Woocommerce Product Design, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.0.0.
Podatność CVE-2024-50480 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w systemie azexo Marketing Automation. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-50496 dotyczy wtyczki AR For WordPress, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
Wtyczka Propagator w wersji od n/a do 0.1 ma lukę umożliwiającą nieograniczone przesyłanie plików niebezpiecznego typu, co pozwala na przesłanie powłoki sieciowej na serwer WWW.
W wersji 1.5.0 MRBS występuje podatność na wstrzykiwanie SQL w pliku edit_entry_handler.php, szczególnie w parametrze rooms%5B%5D.
W wersji pyload-ng v0.5.0b3.dev85 działającej pod pythonem 3.11 lub niżej występuje problem, który pozwala atakującym na wykonanie dowolnego kodu za pomocą spreparowanego żądania HTTP.
W podatności CVE-2024-50491 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji MicahBlu RSVP ME w wersjach od n/a do 1.9.9.
W podatności CVE-2024-50483 występuje obejście autoryzacji poprzez klucz kontrolowany przez użytkownika w aplikacji Meetup autorstwa Tareq Hasana, co umożliwia eskalację uprawnień. Problem ten dotyczy wersji Meetup od n/a do 0.1 włącznie.
W podatności CVE-2024-50479 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Woocommerce Quote Calculator w wersjach od n/a do 1.1.
Podatność CVE-2024-50478 dotyczy mechanizmu logowania bez hasła w Swoop 1-Click Login w wersji 1.4.5, który umożliwia obejście uwierzytelnienia. Wykorzystanie tej luki pozwala na dostęp do systemu bez konieczności podawania prawidłowych danych logowania.
W podatności CVE-2024-50498 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce WP Query Console w wersjach od n/a do 1.0. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu.
Podatność CVE-2024-50489 dotyczy oprogramowania Realty Workstation, które umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach od n/a do 1.0.45.
W podatności CVE-2024-50487 występuje możliwość ominięcia uwierzytelnienia w API MaanStore, co pozwala na dostęp do systemu bez poprawnej autoryzacji. Problem dotyczy wersji API MaanStore od n/a do 1.0.1 włącznie.
W podatności CVE-2024-50486 występuje możliwość ominięcia uwierzytelnienia w API Acnoo Flutter, co pozwala na dostęp do systemu bez poprawnej autoryzacji. Problem dotyczy wersji API od n/a do 1.0.5 włącznie.
W aplikacji Stacks Mobile App Builder występuje podatność na obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten dotyczy wersji aplikacji od n/a do 5.2.3 włącznie.
Aplikacje Spring WebFlux z regułami autoryzacji Spring Security na zasobach statycznych mogą być omijane w określonych okolicznościach. Aby podatność miała wpływ na aplikację, muszą być spełnione trzy warunki: musi to być aplikacja WebFlux, musi korzystać z obsługi zasobów statycznych Springa oraz musi mieć zastosowaną regułę autoryzacji, która nie zezwala na dostęp dla wszystkich.
Wtyczka Wp Social Login and Register Social Counter dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 3.0.7. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Wtyczka WatchTowerHQ dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.10.1 włącznie. Problem wynika z domyślnej pustej wartości 'watchtower_ota_token' oraz braku sprawdzenia, czy wartość ta jest niepusta w funkcji 'Password_Less_Access::login'.
Wtyczka Wux Blog Editor dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcji 'wuxbt_insertImageNew' w wersjach do 3.0.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

