CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Platforma Fujian Kelixin Communication Command and Dispatch w wersjach do 7.6.6.4391 jest podatna na atak typu SQL Injection poprzez skrypt /client/get_gis_fence.php.
W podatności CVE-2024-44349 zidentyfikowano lukę typu SQL injection w portalu logowania AnteeoWMS przed wersją 4.7.34. Umożliwia ona nieautoryzowanym atakującym wykonywanie dowolnych poleceń SQL za pomocą parametru nazwy użytkownika oraz ujawnienie niektórych danych w bazie danych.
Istnieje luka, która pozwala użytkownikowi na wykonanie określonego wywołania do punktu końcowego FlashArray, co umożliwia eskalację uprawnień.
Podatność CVE-2024-8884 dotyczy ujawnienia wrażliwych informacji, co może prowadzić do wycieku danych uwierzytelniających. Występuje, gdy atakujący ma dostęp do aplikacji w sieci przez protokół HTTP.
Zidentyfikowano podatność w SINEC Security Monitor (wszystkie wersje < V4.9.0). Aplikacja nieprawidłowo waliduje dane wejściowe dla polecenia ```ssmctl-client```, co może umożliwić zdalnemu atakującemu o niskich uprawnieniach wykonanie dowolnego kodu z uprawnieniami roota na systemie operacyjnym.
Zidentyfikowano podatność w urządzeniach SENTRON 7KM PAC3200 (wszystkie wersje), które zabezpieczają dostęp administracyjny jedynie 4-cyfrowym PIN-em. Atakujący mający dostęp do interfejsu Modbus TCP mogą łatwo obejść to zabezpieczenie za pomocą ataków brute-force lub podsłuchując komunikację w czystym tekście.
A DLL hijacking vulnerability in VegaBird Vooki 5.2.9 allows attackers to execute arbitrary code or maintain persistence by placing a crafted DLL file in the same directory as Vooki.exe.
A DLL hijacking vulnerability in VegaBird Yaazhini 2.0.2 allows attackers to execute arbitrary code or maintain persistence by placing a crafted DLL file in the same directory as Yaazhini.exe.
Mecha CMS 3.0.0 is vulnerable to Directory Traversal. An attacker can construct cookies and URIs that bypass user identity checks, then pass parameters via POST method, resulting in deletion of arbitrary files or website takeover.
W podatności CVE-2024-47350 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce YITH WooCommerce Ajax Search w wersjach od n/a do 2.8.0. Problem ten może umożliwić atakującym manipulację zapytaniami SQL.
Podatność CVE-2024-45252 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego, co prowadzi do możliwości wstrzyknięcia poleceń OS. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych poleceń w systemie.
Podatność CVE-2024-45251 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego, co prowadzi do możliwości wstrzyknięcia poleceń OS. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych poleceń w systemie.
W Vmax Studio Vmax Project Manager występuje podatność typu 'Path Traversal', która pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia lokalne włączenie plików PHP. Problem dotyczy wersji Vmax Project Manager od n/a do 1.0 włącznie.
Serwer WWW dla ONS-S8 - Spectra Aggregation Switch zawiera niekompletny proces uwierzytelniania, co może umożliwić atakującemu uwierzytelnienie się bez hasła.
Usługa internetowa ONS-S8 - Spectra Aggregation Switch zawiera funkcje, które nieprawidłowo walidują dane wejściowe użytkownika. To pozwala atakującemu na przechodzenie przez katalogi, omijanie uwierzytelnienia oraz wykonywanie zdalnego kodu.
Seria e3 od Linear eMerge do wersji 1.00-07 jest podatna na atak typu injection poleceń systemowych. Zdalny, nieautoryzowany atakujący może wykonać dowolne polecenia systemowe poprzez parametr login_id, korzystając z funkcji resetowania hasła przez HTTP.
Podatność CVE-2024-35293 dotyczy braku uwierzytelnienia dla krytycznych funkcji, co pozwala nieautoryzowanemu zdalnemu atakującemu na zrestartowanie lub wymazanie dotkniętych urządzeń, co prowadzi do utraty danych oraz potencjalnego ataku typu DoS.
FileSender w wersjach przed 2.49 umożliwia wstrzykiwanie szablonów po stronie serwera (SSTI), co pozwala na uzyskanie danych uwierzytelniających. Ta podatność może być wykorzystana przez atakujących do przejęcia kontroli nad systemem.
Podatność w wersji 57.131.12 i wcześniejszych aplikacji Kaiten pozwala atakującym na ominięcie mechanizmu uwierzytelniania za pomocą kodu PIN. Użytkownicy muszą wprowadzić 6-cyfrowy kod PIN wysłany na ich e-mail, jednak mechanizm ograniczania żądań można łatwo obejść, co umożliwia atak brute force na odgadnięcie poprawnego kodu PIN.
Wtyczka Wechat Social login dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu niewystarczającej walidacji typów plików w funkcji 'convert_remoteimage_to_local' w wersjach do 1.3.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

