CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2021-4449
Critical

Wtyczka ZoomSounds dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku 'savepng.php' w wersjach do 5.96 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2021-4443
Critical

Wtyczka Mega Menu dla WordPressa jest podatna na tworzenie dowolnych plików w wersjach do 2.0.6 włącznie, poprzez akcję AJAX compiler_save. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików PHP, które mogą być użyte do wykonania złośliwego kodu.

CVE-2020-36837
Critical

Wtyczka ThemeGrill Demo Importer dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku sprawdzenia uprawnień w funkcji reset_wizard_actions w wersjach od 1.3.4 do 1.6.1. Umożliwia to uwierzytelnionym atakującym zresetowanie bazy danych WordPressa.

CVE-2020-36832
Critical

Wtyczka Ultimate Membership Pro dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 7.3 do 8.6. Umożliwia to nieautoryzowanym atakującym zalogowanie się jako dowolny użytkownik, w tym administrator strony, przy użyciu nazwy użytkownika lub identyfikatora użytkownika.

CVE-2024-10018
Critical

Nieprawidłowa kontrola uprawnień w aplikacji mobilnej (com.transsion.aivoiceassistant) może prowadzić do uruchomienia dowolnego nieeksportowanego komponentu.

CVE-2024-9105
Critical

Wtyczka UltimateAI dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.8.3 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika w funkcji 'ultimate_ai_register_or_login_with_google', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.

CVE-2024-48782
Critical

Podatność na przesyłanie plików w wersji v2.0.9.41 DYCMS Open-Source umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez aplikację, która jedynie sprawdza rozszerzenia plików graficznych w interfejsie użytkownika.

CVE-2024-48781
Critical

W wersji 2.3.6 oprogramowania Wanxing Technology Yitu Project Management Kirin Edition występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez specjalnie skonstruowany plik so w lokalizacji /opt/EdrawProj-2/plugins/imageformat.

CVE-2024-48779
Critical

W oprogramowaniu do zarządzania projektem Yitu firmy Wanxing Technology w wersji 3.2.2 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez parametr platformpluginpath, umożliwiający załadowanie katalogu z wtyczką qt.

CVE-2024-49195
Critical

Mbed TLS w wersjach 3.5.x do 3.6.x przed 3.6.2 zawiera błąd typu buffer underrun w funkcji pkwrite podczas zapisywania nieprzezroczystej pary kluczy.

CVE-2024-48914
Critical

Vendure to otwartoźródłowa platforma handlu bezgłowego. W wersjach przed 3.0.5 i 2.3.3 występuje podatność w wtyczce serwera zasobów, która pozwala atakującemu na skonstruowanie żądania umożliwiającego przeszukiwanie systemu plików serwera i pobieranie zawartości dowolnych plików, w tym wrażliwych danych, takich jak pliki konfiguracyjne czy zmienne środowiskowe.

CVE-2024-47943
Critical

Funkcja aktualizacji oprogramowania w interfejsie administracyjnym urządzeń Rittal IoT Interface i CMC III Processing Unit sprawdza, czy pliki łatki są podpisane przed wykonaniem skryptu run.sh. Proces podpisywania oparty jest na HMAC z długim kluczem, który jest zakodowany w oprogramowaniu i dostępny do pobrania.

CVE-2024-9982
Critical

Platforma marketingowa AIM LINE od Esi Technology nieprawidłowo waliduje określony parametr zapytania. Gdy moduł kampanii LINE jest włączony, nieautoryzowani zdalni atakujący mogą wstrzykiwać dowolne polecenia FetchXml, co pozwala na odczyt, modyfikację i usunięcie zawartości bazy danych.

CVE-2024-9972
Critical

System zarządzania nieruchomościami od ChanGate zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.

CVE-2024-48823
Critical

W systemie Automatic Systems Maintenance SlimLane 29565_d74ecce0c1081d50546db573a499941b10799fb7 występuje podatność na lokalne włączenie pliku, która umożliwia zdalnemu atakującemu eskalację uprawnień poprzez stronę PassageAutoServer.php.

CVE-2024-9137
Critical

Podatny produkt nie posiada weryfikacji uwierzytelnienia podczas wysyłania poleceń do serwera za pośrednictwem usługi Moxa. Ta podatność umożliwia atakującemu wykonanie określonych poleceń, co może prowadzić do nieautoryzowanego pobierania lub przesyłania plików konfiguracyjnych oraz kompromitacji systemu.

CVE-2024-9924
Critical

Poprawka dla CVE-2024-26261 była niekompletna, co pozostawia pakiet OAKlouds od Hgiga wciąż narażonym. Nieautoryzowani zdalni atakujący mogą pobierać dowolne pliki systemowe, które mogą być następnie usunięte.

CVE-2024-48772
Critical

A vulnerability in C-CHIP (com.cchip.cchipamaota) version 1.2.8 allows a remote attacker to obtain sensitive information through the firmware update process.

CVE-2024-48787
Critical

A vulnerability in the Revic Ops application (us.revic.revicops) version 1.12.5 allows a remote attacker to obtain sensitive information through the firmware update process.

CVE-2024-48786
Critical

A vulnerability in the SwitchBot app (version 5.0.4) allows a remote attacker to obtain sensitive information during the firmware update process.

PreviousPage 312 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS