CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-9106
Critical

Wtyczka Wechat Social login dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.3.0 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika podczas logowania społecznościowego, co pozwala nieautoryzowanym atakującym na logowanie się jako dowolny istniejący użytkownik, w tym administrator, jeśli znają identyfikator użytkownika.

CVE-2024-42017
Critical

W aplikacji Atos Eviden iCare w wersjach od 2.7.1 do 2.7.11 odkryto problem, który umożliwia wystawienie lokalnego interfejsu webowego. W najgorszym przypadku, jeśli aplikacja jest dostępna zdalnie, atakujący może wykonać dowolne polecenia z uprawnieniami systemowymi na urządzeniu hostującym aplikację, bez potrzeby uwierzytelnienia.

CVE-2024-8353
Critical

Wtyczka GiveWP – Donation Plugin and Fundraising Platform dla WordPress jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 3.16.1 poprzez deserializację niezaufanych danych wejściowych w kilku parametrach, takich jak 'give_title' i 'card_address'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP oraz usunięcie dowolnych plików i zdalne wykonanie kodu.

CVE-2024-8310
Critical

Systemy zarządzania paliwem OPW SiteSentinel mogą umożliwić atakującemu ominięcie uwierzytelnienia do serwera i uzyskanie pełnych uprawnień administratora.

CVE-2024-6981
Critical

Podatność w systemie OMNTEC Proteus Tank Monitoring OEL8000III Series umożliwia atakującemu wykonywanie działań administracyjnych bez odpowiedniej autoryzacji. To może prowadzić do nieautoryzowanego dostępu do krytycznych funkcji systemu.

CVE-2024-8643
Critical

Podatność typu Session Fixation w aplikacji ValeApp od Oceanic Software umożliwia ataki Brute Force oraz przejęcie sesji. Problem dotyczy wersji ValeApp przed 2.0.0.

CVE-2024-8607
Critical

Podatność CVE-2024-8607 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w aplikacji ValeApp od Oceanic Software, co umożliwia atak typu SQL Injection. Problem ten dotyczy wersji ValeApp przed 2.0.0.

CVE-2024-46627
Critical

W BECN DATAGERRY w wersji 2.2 występuje nieprawidłowa kontrola dostępu, która pozwala atakującym na wykonywanie dowolnych poleceń za pomocą spreparowanych żądań webowych.

CVE-2024-7108
Critical

Podatność związana z nieprawidłową autoryzacją w usłudze CyberMath firmy National Keep Cyber Security Services umożliwia dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji CyberMath przed CYBM.240816253.

CVE-2024-8485
Critical

Wtyczka REST API TO MiniProgram dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 4.7.1. Problem wynika z braku walidacji klucza 'openid', co pozwala nieautoryzowanym atakującym na aktualizację kont dowolnych użytkowników.

CVE-2024-9142
Critical

Podatność CVE-2024-9142 w systemie e-Belediye firmy Olgu Computer Systems pozwala na manipulację wejściem webowym do wywołań systemowych plików z powodu nieprawidłowego przypisania uprawnień do krytycznych zasobów. Dotyczy to wersji przed 2.0.642.

CVE-2024-46957
Critical

Mellium mellium.im/xmpp w wersjach od 0.0.1 do 0.21.4 umożliwia fałszowanie odpowiedzi, jeśli implementacja używa przewidywalnych identyfikatorów, ponieważ typ stanz nie jest sprawdzany. Problem ten został naprawiony w wersji 0.22.0.

CVE-2024-42507
Critical

W podatności CVE-2024-42507 występują luki w zakresie wstrzykiwania poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Atakujący może wysłać specjalnie skonstruowane pakiety do portu UDP PAPI (protokół zarządzania punktami dostępowymi Aruba) w celu uzyskania dostępu do systemu operacyjnego z uprawnieniami uprzywilejowanymi.

CVE-2024-42506
Critical

W podatności CVE-2024-42506 zidentyfikowano luki w wstrzykiwaniu poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. Atakujący mogą wysyłać specjalnie przygotowane pakiety do portu UDP (8211) protokołu PAPI, co pozwala na wykonanie dowolnego kodu jako użytkownik z uprawnieniami na systemie operacyjnym.

CVE-2024-42505
Critical

W podatności CVE-2024-42505 występują luki w wstrzykiwaniu poleceń w usłudze CLI, które mogą prowadzić do zdalnego wykonania kodu bez uwierzytelnienia poprzez wysyłanie specjalnie przygotowanych pakietów do portu UDP PAPI (protokół zarządzania punktami dostępowymi Aruba). Sukces w wykorzystaniu tych luk pozwala na wykonanie dowolnego kodu jako użytkownik z uprawnieniami na systemie operacyjnym.

CVE-2024-34331
Critical

Brak weryfikacji podpisu kodu w Parallels Desktop dla Mac w wersji 19.3.0 i wcześniejszych umożliwia atakującym eskalację uprawnień za pomocą spreparowanego instalatora macOS, ponieważ usługa Parallels jest ustawiona jako setuid root.

CVE-2024-45489
Critical

Arc przed 2024-08-26 umożliwia zdalne wykonanie kodu w JavaScript boosts. Dzięki błędnie skonfigurowanym ACL Firebase, możliwe jest utworzenie lub zaktualizowanie boosta przy użyciu identyfikatora innego użytkownika, co pozwala na uruchomienie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2024-33109
CriticalEPSS 54%

A Directory Traversal vulnerability in the web interface of the Tiptel IP 286 phone with firmware version 2.61.13.10 allows attackers to overwrite arbitrary files on the device via the Ringtone upload function.

CVE-2024-40568
Critical

Podatność typu przepełnienie bufora w btstack mesh przed wersją 864e2f2b6b7878c8fab3cf5ee84ae566e3380c58 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję pb_adv_handle_tranaction_cont w komponencie src/mesh/pb_adv.c.

CVE-2024-45523
Critical

Wykryto problem w Bravura Security Fabric w wersjach 12.3.x przed 12.3.5.32784, 12.4.x przed 12.4.3.35110, 12.5.x przed 12.5.2.35950, 12.6.x przed 12.6.2.37183 oraz 12.7.x przed 12.7.1.38241. Nieautoryzowany atakujący może spowodować wyciek zasobów, wykonując wiele nieudanych prób logowania przez API SOAP.

PreviousPage 315 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS