CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W podatności CVE-2024-6401 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie InsureE GL w wersjach przed 4.6.2.
W podatnej aplikacji mobilnej (com.afmobi.boomplayer) występuje niewłaściwa konfiguracja uprawnień, co może prowadzić do ryzyka przejęcia konta użytkownika.
Podatność związana z użyciem twardo zakodowanych poświadczeń w oprogramowaniu TNB Mobile Solutions Cockpit umożliwia odczyt wrażliwych ciągów w pliku wykonywalnym. Problem dotyczy wersji oprogramowania przed 2.13.
Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.
Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_fields' w punkcie końcowym REST API /wp-json/lp/v1/courses/archive-course we wszystkich wersjach do i włącznie z 4.2.7. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_only_fields' w punkcie końcowym REST API /wp-json/learnpress/v1/courses we wszystkich wersjach do 4.2.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wersje v4 i wcześniejsze aplikacji evilnapsis Inventio Lite są podatne na atak typu SQL Injection poprzez parametr 'username' w ścieżce '/?action=processlogin'.
W VICIdial występuje podatność na atak typu SQL injection, która pozwala nieautoryzowanemu atakującemu na enumerację rekordów bazy danych. Domyślnie VICIdial przechowuje hasła w postaci niezaszyfrowanej w bazie danych.
System Zarządzania Inteligentnego Renwoxing przed wersją 3.0 zawiera podatność na wstrzyknięcie SQL poprzez parametr parid w ścieżce /fx/baseinfo/SearchInfo.
Podatność typu przepełnienie bufora w stercie w silniku JavaScript Escargot firmy Samsung pozwala na przepełnienie buforów. Problem ten dotyczy wersji 4.0.0 silnika Escargot.
Zidentyfikowano podatność w Industrial Edge Management Pro (wszystkie wersje < V1.9.5) oraz Industrial Edge Management Virtual (wszystkie wersje < V2.3.1-1). Affected components nieprawidłowo weryfikują tokeny urządzeń, co może umożliwić nieautoryzowanemu atakującemu zdalne podszywanie się pod inne urządzenia zarejestrowane w systemie.
Zidentyfikowano podatność w produktach SIMATIC, która dotyczy wielu wersji, w tym SIMATIC BATCH V9.1 oraz SIMATIC WinCC. Problematyczne jest uruchamianie serwera DB z podwyższonymi uprawnieniami, co może umożliwić uwierzytelnionemu atakującemu wykonywanie dowolnych poleceń systemowych z uprawnieniami administratora.
Zidentyfikowano podatność w produktach Opcenter Quality, Opcenter RDnL, SIMATIC PCS neo oraz Totally Integrated Automation Portal, które są narażone na atak z wykorzystaniem przepełnienia bufora w stercie w zintegrowanym komponencie UMC. Atakujący bez uwierzytelnienia może wykonać dowolny kod.
A deserialization vulnerability in ThinkPHP versions 6.1.3 through 8.0.4 allows attackers to execute arbitrary code remotely. The issue stems from unsafe processing of input data during deserialization.
HPE zidentyfikowało podatność na odmowę usługi w usługach systemu plików sieciowych (NFSv4) w systemie HPE HP-UX.
Podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji w PassBox firmy Profelis Informatics and Consulting umożliwia nadużycie uwierzytelnienia. Problem dotyczy wersji PassBox przed 1.2.
Podatność na wstrzykiwanie kodu pozwala użytkownikowi o niskich uprawnieniach na przesyłanie dowolnych plików na serwer, co prowadzi do zdalnego wykonania kodu na serwerze VSPC.
Podatność na obejście uwierzytelniania umożliwia atakującemu o niskich uprawnieniach dostęp do hasha NTLM konta serwisowego na serwerze VSPC.
Wtyczka WPCOM Member dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.5.2.1. Problem wynika z możliwości przekazywania dowolnych danych do funkcji wp_insert_user() podczas rejestracji.
W Mbed TLS 3.x przed wersją 3.6.1 odkryto problem związany z TLS 1.3, który pozwalał na błędne weryfikowanie certyfikatów klienta. Jeśli certyfikat nie miał odpowiednich wartości w rozszerzeniach keyUsage lub extKeyUsage, funkcja mbedtls_ssl_get_verify_result() nie zgłaszała błędów, co umożliwiało atakującemu użycie niewłaściwego certyfikatu do uwierzytelnienia klienta.

