CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Wux Blog Editor dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.0.0 włącznie. Problem wynika z braku walidacji tokena dostarczanego podczas autologowania przez wtyczkę, co umożliwia nieautoryzowanym atakującym zalogowanie się jako pierwszy użytkownik administratora.
Wtyczka Extensions by HocWP Team dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 0.2.3.2 włącznie. Problem wynika z braku walidacji użytkownika w akcji 'verify_email', co pozwala nieautoryzowanym atakującym na logowanie się jako dowolny istniejący użytkownik, w tym administrator.
W systemie zarządzania siecią Hanzhou Haobo w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą odpowiednio przygotowanego skryptu.
Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na atak typu SQL Injection w funkcji `transaction_delete_group`. Podatność wynika z niewłaściwego oczyszczania danych wejściowych użytkownika w parametrze `TrDeleteArr`, który jest bezpośrednio włączany do zapytania SQL.
Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na błędną kontrolę dostępu. Funkcja `redirect_if_not_loggedin` w pliku `functions_security.php` nie kończy wykonania skryptu po przekierowaniu nieautoryzowanych użytkowników, co umożliwia atakującym przesyłanie dowolnych plików.
W podatności typu prompt injection w chatboxie Netangular Technologies ChatNet AI w wersji v1.0, atakujący mogą uzyskać dostęp do wszystkich wcześniejszych i późniejszych danych czatu między użytkownikiem a asystentem AI poprzez odpowiednio skonstruowaną wiadomość.
W podatności CVE-2024-48144 występuje luka w zabezpieczeniach związana z wstrzykiwaniem poleceń w chatboxie Fusion Chat Chat AI Assistant w wersji 1.2.4.0. Umożliwia ona atakującym dostęp do wszystkich wcześniejszych i późniejszych danych czatu między użytkownikiem a asystentem AI poprzez odpowiednio skonstruowaną wiadomość.
Brak ograniczenia liczby żądań w komponencie walidacji OTP w Digitory Multi Channel Integrated POS v1.0 umożliwia atakującym dostęp do systemu zamówień i składanie nadmiernej liczby zamówień na jedzenie.
php-heic-to-jpg w wersji 1.0.5 i wcześniejszych jest podatny na wstrzykiwanie kodu, co zostało naprawione w wersji 1.0.6. Atakujący, który ma możliwość przesyłania obrazów heic, może wykonać kod na zdalnym serwerze poprzez nazwę pliku.
Plik APK w Cloud Smart Lock w wersji 2.0.1 zawiera wyciekły adres URL, który umożliwia wywołanie API do łączenia fizycznych urządzeń. Ta podatność pozwala atakującym na dowolne skonstruowanie żądania, aby użyć aplikacji do łączenia z nieznanymi urządzeniami poprzez znalezienie ważnego numeru seryjnego za pomocą ataku brute force.
Neye3C v4.5.2.0 was discovered to contain a hardcoded encryption key in the firmware update mechanism. This allows an attacker to read the key and tamper with updates.
Problem w obsłudze protokołów URL został rozwiązany poprzez poprawioną logikę. Problematyka ta została naprawiona w Safari 17.6, iOS 17.6, iPadOS 17.6, macOS Sonoma 14.6, tvOS 17.6, visionOS 1.3 oraz watchOS 10.6.
Incorrect access control in the firmware update and download processes of Neye3C v4.5.2.0 allows attackers to access sensitive information by analyzing the code and data within the APK file.
W podatności CVE-2024-49681 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WP Sessions Time Monitoring Full Automatic w wersjach od n/a do 1.0.9.
Podatność CVE-2024-49671 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w generatorze obrazów AI Postpix. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-49669 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji INK Official, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji INK Official od n/a do 4.1.2.
Podatność CVE-2024-49668 dotyczy wtyczki Verbalize WP, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-49658 dotyczy wtyczki Woocommerce Custom Profile Picture, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność CVE-2024-49653 dotyczy Portfolleo, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Portfolleo od n/a do 1.2 włącznie.
Podatność CVE-2024-49652 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji 3D Work In Progress autorstwa Renaty Bracichowicz. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych zagrożeń bezpieczeństwa.

