CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-9931
Critical

Wtyczka Wux Blog Editor dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.0.0 włącznie. Problem wynika z braku walidacji tokena dostarczanego podczas autologowania przez wtyczkę, co umożliwia nieautoryzowanym atakującym zalogowanie się jako pierwszy użytkownik administratora.

CVE-2024-9930
Critical

Wtyczka Extensions by HocWP Team dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 0.2.3.2 włącznie. Problem wynika z braku walidacji użytkownika w akcji 'verify_email', co pozwala nieautoryzowanym atakującym na logowanie się jako dowolny istniejący użytkownik, w tym administrator.

CVE-2024-48204
Critical

W systemie zarządzania siecią Hanzhou Haobo w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą odpowiednio przygotowanego skryptu.

CVE-2024-41618
Critical

Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na atak typu SQL Injection w funkcji `transaction_delete_group`. Podatność wynika z niewłaściwego oczyszczania danych wejściowych użytkownika w parametrze `TrDeleteArr`, który jest bezpośrednio włączany do zapytania SQL.

CVE-2024-41617
Critical

Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na błędną kontrolę dostępu. Funkcja `redirect_if_not_loggedin` w pliku `functions_security.php` nie kończy wykonania skryptu po przekierowaniu nieautoryzowanych użytkowników, co umożliwia atakującym przesyłanie dowolnych plików.

CVE-2024-48145
Critical

W podatności typu prompt injection w chatboxie Netangular Technologies ChatNet AI w wersji v1.0, atakujący mogą uzyskać dostęp do wszystkich wcześniejszych i późniejszych danych czatu między użytkownikiem a asystentem AI poprzez odpowiednio skonstruowaną wiadomość.

CVE-2024-48144
Critical

W podatności CVE-2024-48144 występuje luka w zabezpieczeniach związana z wstrzykiwaniem poleceń w chatboxie Fusion Chat Chat AI Assistant w wersji 1.2.4.0. Umożliwia ona atakującym dostęp do wszystkich wcześniejszych i późniejszych danych czatu między użytkownikiem a asystentem AI poprzez odpowiednio skonstruowaną wiadomość.

CVE-2024-48143
Critical

Brak ograniczenia liczby żądań w komponencie walidacji OTP w Digitory Multi Channel Integrated POS v1.0 umożliwia atakującym dostęp do systemu zamówień i składanie nadmiernej liczby zamówień na jedzenie.

CVE-2024-48514
Critical

php-heic-to-jpg w wersji 1.0.5 i wcześniejszych jest podatny na wstrzykiwanie kodu, co zostało naprawione w wersji 1.0.6. Atakujący, który ma możliwość przesyłania obrazów heic, może wykonać kod na zdalnym serwerze poprzez nazwę pliku.

CVE-2024-48548
Critical

Plik APK w Cloud Smart Lock w wersji 2.0.1 zawiera wyciekły adres URL, który umożliwia wywołanie API do łączenia fizycznych urządzeń. Ta podatność pozwala atakującym na dowolne skonstruowanie żądania, aby użyć aplikacji do łączenia z nieznanymi urządzeniami poprzez znalezienie ważnego numeru seryjnego za pomocą ataku brute force.

CVE-2024-48539
Critical

Neye3C v4.5.2.0 was discovered to contain a hardcoded encryption key in the firmware update mechanism. This allows an attacker to read the key and tamper with updates.

CVE-2024-44206
Critical

Problem w obsłudze protokołów URL został rozwiązany poprzez poprawioną logikę. Problematyka ta została naprawiona w Safari 17.6, iOS 17.6, iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3 oraz watchOS 10.6.

CVE-2024-48538
Critical

Incorrect access control in the firmware update and download processes of Neye3C v4.5.2.0 allows attackers to access sensitive information by analyzing the code and data within the APK file.

CVE-2024-49681
Critical

W podatności CVE-2024-49681 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WP Sessions Time Monitoring Full Automatic w wersjach od n/a do 1.0.9.

CVE-2024-49671
Critical

Podatność CVE-2024-49671 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w generatorze obrazów AI Postpix. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-49669
Critical

Podatność CVE-2024-49669 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji INK Official, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji INK Official od n/a do 4.1.2.

CVE-2024-49668
Critical

Podatność CVE-2024-49668 dotyczy wtyczki Verbalize WP, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-49658
Critical

Podatność CVE-2024-49658 dotyczy wtyczki Woocommerce Custom Profile Picture, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-49653
Critical

Podatność CVE-2024-49653 dotyczy Portfolleo, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Portfolleo od n/a do 1.2 włącznie.

CVE-2024-49652
Critical

Podatność CVE-2024-49652 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji 3D Work In Progress autorstwa Renaty Bracichowicz. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych zagrożeń bezpieczeństwa.

PreviousPage 308 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS