CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Wechat Social login dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.3.0 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika podczas logowania społecznościowego, co pozwala nieautoryzowanym atakującym na logowanie się jako dowolny istniejący użytkownik, w tym administrator, jeśli znają identyfikator użytkownika.
W aplikacji Atos Eviden iCare w wersjach od 2.7.1 do 2.7.11 odkryto problem, który umożliwia wystawienie lokalnego interfejsu webowego. W najgorszym przypadku, jeśli aplikacja jest dostępna zdalnie, atakujący może wykonać dowolne polecenia z uprawnieniami systemowymi na urządzeniu hostującym aplikację, bez potrzeby uwierzytelnienia.
Wtyczka GiveWP – Donation Plugin and Fundraising Platform dla WordPress jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 3.16.1 poprzez deserializację niezaufanych danych wejściowych w kilku parametrach, takich jak 'give_title' i 'card_address'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP oraz usunięcie dowolnych plików i zdalne wykonanie kodu.
Systemy zarządzania paliwem OPW SiteSentinel mogą umożliwić atakującemu ominięcie uwierzytelnienia do serwera i uzyskanie pełnych uprawnień administratora.
Podatność w systemie OMNTEC Proteus Tank Monitoring OEL8000III Series umożliwia atakującemu wykonywanie działań administracyjnych bez odpowiedniej autoryzacji. To może prowadzić do nieautoryzowanego dostępu do krytycznych funkcji systemu.
Podatność typu Session Fixation w aplikacji ValeApp od Oceanic Software umożliwia ataki Brute Force oraz przejęcie sesji. Problem dotyczy wersji ValeApp przed 2.0.0.
Podatność CVE-2024-8607 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w aplikacji ValeApp od Oceanic Software, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji ValeApp przed 2.0.0.
W BECN DATAGERRY w wersji 2.2 występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na wykonywanie dowolnych poleceń za pomocą spreparowanych żądań webowych.
Podatność związana z nieprawidłową autoryzacją w usłudze CyberMath firmy National Keep Cyber Security Services umożliwia dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji CyberMath przed CYBM.240816253.
Wtyczka REST API TO MiniProgram dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 4.7.1. Problem wynika z braku walidacji klucza 'openid', co pozwala nieautoryzowanym atakującym na aktualizację kont dowolnych użytkowników.
Podatność CVE-2024-9142 w systemie e-Belediye firmy Olgu Computer Systems pozwala na manipulację wejściem webowym do wywołań systemowych plików z powodu nieprawidłowego przypisania uprawnień do krytycznych zasobów. Dotyczy to wersji przed 2.0.642.
Mellium mellium.im/xmpp w wersjach od 0.0.1 do 0.21.4 umożliwia fałszowanie odpowiedzi, jeśli implementacja używa przewidywalnych identyfikatorów, ponieważ typ stanz nie jest sprawdzany. Problem ten został naprawiony w wersji 0.22.0.
W podatności CVE-2024-42507 występują luki w zakresie wstrzykiwania poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Atakujący może wysłać specjalnie skonstruowane pakiety do portu UDP PAPI (protokół zarządzania punktami dostępowymi Aruba) w celu uzyskania dostępu do systemu operacyjnego z uprawnieniami uprzywilejowanymi.
W podatności CVE-2024-42506 zidentyfikowano luki w wstrzykiwaniu poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Atakujący mogą wysyłać specjalnie przygotowane pakiety do portu UDP (8211) protokołu PAPI, co pozwala na wykonanie dowolnego kodu jako użytkownik z uprawnieniami na systemie operacyjnym.
W podatności CVE-2024-42505 występują luki w wstrzykiwaniu poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia poprzez wysyłanie specjalnie przygotowanych pakietów do portu UDP PAPI (protokół zarządzania punktami dostępowymi Aruba). Sukces w wykorzystaniu tych luk pozwala na wykonanie dowolnego kodu jako użytkownik z uprawnieniami na systemie operacyjnym.
Brak weryfikacji podpisu kodu w Parallels Desktop dla Mac w wersji 19.3.0 i wcześniejszych umożliwia atakującym eskalację uprawnień za pomocą spreparowanego instalatora macOS, ponieważ usługa Parallels jest ustawiona jako setuid root.
Arc przed 2024-08-26 umożliwia zdalne wykonanie kodu w JavaScript boosts. Dzięki błędnie skonfigurowanym ACL Firebase, możliwe jest utworzenie lub zaktualizowanie boosta przy użyciu identyfikatora innego użytkownika, co pozwala na uruchomienie dowolnego kodu JavaScript w przeglądarce ofiary.
A Directory Traversal vulnerability in the web interface of the Tiptel IP 286 phone with firmware version 2.61.13.10 allows attackers to overwrite arbitrary files on the device via the Ringtone upload function.
Podatność typu przepełnienie bufora w btstack mesh przed wersją 864e2f2b6b7878c8fab3cf5ee84ae566e3380c58 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję pb_adv_handle_tranaction_cont w komponencie src/mesh/pb_adv.c.
Wykryto problem w Bravura Security Fabric w wersjach 12.3.x przed 12.3.5.32784, 12.4.x przed 12.4.3.35110, 12.5.x przed 12.5.2.35950, 12.6.x przed 12.6.2.37183 oraz 12.7.x przed 12.7.1.38241. Nieautoryzowany atakujący może spowodować wyciek zasobów, wykonując wiele nieudanych prób logowania przez API SOAP.

