CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-6401
Critical

W podatności CVE-2024-6401 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie InsureE GL w wersjach przed 4.6.2.

CVE-2024-8039
Critical

W podatnej aplikacji mobilnej (com.afmobi.boomplayer) występuje niewłaściwa konfiguracja uprawnień, co może prowadzić do ryzyka przejęcia konta użytkownika.

CVE-2024-6656
Critical

Podatność związana z użyciem twardo zakodowanych poświadczeń w oprogramowaniu TNB Mobile Solutions Cockpit umożliwia odczyt wrażliwych ciągów w pliku wykonywalnym. Problem dotyczy wersji oprogramowania przed 2.13.

CVE-2024-40457
Critical

Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.

CVE-2024-8529
Critical

Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_fields' w punkcie końcowym REST API /wp-json/lp/v1/courses/archive-course we wszystkich wersjach do i włącznie z 4.2.7. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-8522
Critical

Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_only_fields' w punkcie końcowym REST API /wp-json/learnpress/v1/courses we wszystkich wersjach do 4.2.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-44541
Critical

Wersje v4 i wcześniejsze aplikacji evilnapsis Inventio Lite są podatne na atak typu SQL Injection poprzez parametr 'username' w ścieżce '/?action=processlogin'.

CVE-2024-8503
Critical

W VICIdial występuje podatność na atak typu SQL injection, która pozwala nieautoryzowanemu atakującemu na enumerację rekordów bazy danych. Domyślnie VICIdial przechowuje hasła w postaci niezaszyfrowanej w bazie danych.

CVE-2024-43040
Critical

System Zarządzania Inteligentnego Renwoxing przed wersją 3.0 zawiera podatność na wstrzyknięcie SQL poprzez parametr parid w ścieżce /fx/baseinfo/SearchInfo.

CVE-2024-40754
Critical

Podatność typu przepełnienie bufora w stercie w silniku JavaScript Escargot firmy Samsung pozwala na przepełnienie buforów. Problem ten dotyczy wersji 4.0.0 silnika Escargot.

CVE-2024-45032
Critical

Zidentyfikowano podatność w Industrial Edge Management Pro (wszystkie wersje < V1.9.5) oraz Industrial Edge Management Virtual (wszystkie wersje < V2.3.1-1). Affected components nieprawidłowo weryfikują tokeny urządzeń, co może umożliwić nieautoryzowanemu atakującemu zdalne podszywanie się pod inne urządzenia zarejestrowane w systemie.

CVE-2024-35783
Critical

Zidentyfikowano podatność w produktach SIMATIC, która dotyczy wielu wersji, w tym SIMATIC BATCH V9.1 oraz SIMATIC WinCC. Problematyczne jest uruchamianie serwera DB z podwyższonymi uprawnieniami, co może umożliwić uwierzytelnionemu atakującemu wykonywanie dowolnych poleceń systemowych z uprawnieniami administratora.

CVE-2024-33698
Critical

Zidentyfikowano podatność w produktach Opcenter Quality, Opcenter RDnL, SIMATIC PCS neo oraz Totally Integrated Automation Portal, które są narażone na atak z wykorzystaniem przepełnienia bufora w stercie w zintegrowanym komponencie UMC. Atakujący bez uwierzytelnienia może wykonać dowolny kod.

CVE-2024-44902
CriticalEPSS 90%

A deserialization vulnerability in ThinkPHP versions 6.1.3 through 8.0.4 allows attackers to execute arbitrary code remotely. The issue stems from unsafe processing of input data during deserialization.

CVE-2024-42500
Critical

HPE zidentyfikowało podatność na odmowę usługi w usługach systemu plików sieciowych (NFSv4) w systemie HPE HP-UX.

CVE-2024-7015
Critical

Podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji w PassBox firmy Profelis Informatics and Consulting umożliwia nadużycie uwierzytelnienia. Problem dotyczy wersji PassBox przed 1.2.

CVE-2024-39714
Critical

Podatność na wstrzykiwanie kodu pozwala użytkownikowi o niskich uprawnieniach na przesyłanie dowolnych plików na serwer, co prowadzi do zdalnego wykonania kodu na serwerze VSPC.

CVE-2024-38650
Critical

Podatność na obejście uwierzytelniania umożliwia atakującemu o niskich uprawnieniach dostęp do hasha NTLM konta serwisowego na serwerze VSPC.

CVE-2024-7493
Critical

Wtyczka WPCOM Member dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.5.2.1. Problem wynika z możliwości przekazywania dowolnych danych do funkcji wp_insert_user() podczas rejestracji.

CVE-2024-45159
Critical

W Mbed TLS 3.x przed wersją 3.6.1 odkryto problem związany z TLS 1.3, który pozwalał na błędne weryfikowanie certyfikatów klienta. Jeśli certyfikat nie miał odpowiednich wartości w rozszerzeniach keyUsage lub extKeyUsage, funkcja mbedtls_ssl_get_verify_result() nie zgłaszała błędów, co umożliwiało atakującemu użycie niewłaściwego certyfikatu do uwierzytelnienia klienta.

PreviousPage 313 of 572Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS