CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-5960
Critical

W podatności CVE-2024-5960 w Eliz Software Panel występuje problem z przechowywaniem haseł w postaci niezaszyfrowanej, co umożliwia wykorzystanie znanych danych logowania do domeny. Dotyczy to wersji Panelu przed 2.3.24.

CVE-2024-35515
Critical

Niebezpieczna deserializacja w sqlitedict do wersji 2.1.0 umożliwia atakującym wykonanie dowolnego kodu. Problem ten może prowadzić do poważnych naruszeń bezpieczeństwa systemu.

CVE-2024-44004
Critical

W podatności CVE-2024-44004 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Arni Cinco WPCargo Track & Trace. Problem dotyczy wersji WPCargo Track & Trace od n/a do 8.0.2 włącznie.

CVE-2024-43978
Critical

W podatności CVE-2024-43978 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem dotyczy wersji wtyczki od n/a do poniżej 6.9.8.

CVE-2024-43976
Critical

Podatność CVE-2024-43976 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce Super Store Finder dla WordPressa. Problem ten dotyczy wersji od n/a do 6.9.7 włącznie.

CVE-2024-45798
Critical

Kernela arduino-esp32 dla mikrokontrolerów ESP32 i pokrewnych jest podatny na wiele luk związanych z Wykonaniem Zatrutego Rurociągu (PPE). Występuje możliwość wstrzyknięcia kodu w workflow `tests_results.yml` oraz wstrzyknięcia zmiennych środowiskowych. Problemy te zostały rozwiązane, jednak użytkownicy powinni zweryfikować zawartość pobranych artefaktów.

CVE-2024-8767
Critical

Podatność CVE-2024-8767 dotyczy ujawnienia i manipulacji wrażliwymi danymi spowodowaną niepotrzebnym przydzieleniem uprawnień. Dotyczy to wtyczek Acronis Backup dla cPanel & WHM, Plesk oraz DirectAdmin na systemach Linux przed określonymi wersjami.

CVE-2024-7387
Critical

W openshift/builder znaleziono lukę, która umożliwia wstrzykiwanie poleceń poprzez przejście ścieżki. Złośliwy użytkownik może wykonać dowolne polecenia na węźle OpenShift uruchamiającym kontener builder.

CVE-2024-45496
Critical

W OpenShift zidentyfikowano lukę, która wynika z niewłaściwego użycia podwyższonych uprawnień w procesie budowy. Podczas inicjalizacji budowy kontener git-clone jest uruchamiany z uprzywilejowanym kontekstem bezpieczeństwa, co umożliwia nieograniczony dostęp do węzła.

CVE-2024-45415
Critical

Wielokrotne routery ZTE mają podatność na przepełnienie bufora na stosie w funkcji check_data_integrity w binarnym pliku HTTPD. Funkcja ta odpowiada za walidację sumy kontrolnej danych w żądaniu POST, jednak nie weryfikuje poprawności odczytanej sumy kontrolnej, co umożliwia atakującemu zdalne wykonanie kodu jako root.

CVE-2024-45414
Critical

Wielokrotne routery ZTE mają podatność na przepełnienie bufora na stosie w funkcji webPrivateDecrypt w binarnym pliku HTTPD. Funkcja ta odpowiada za deszyfrowanie zaszyfrowanych danych RSA, które są dostarczane w formacie base64, a zdekodowane dane są przechowywane na stosie bez sprawdzania ich długości.

CVE-2024-7104
Critical

W podatności CVE-2024-7104 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w aplikacji ww.Winsure w wersjach przed 4.6.2.

CVE-2024-7098
Critical

Podatność CVE-2024-7098 dotyczy niewłaściwego ograniczenia odniesienia do zewnętrznych jednostek XML w oprogramowaniu ww.Winsure, co umożliwia atak typu XML Injection. Problem ten występuje w wersjach przed 4.6.2.

CVE-2024-6401
Critical

W podatności CVE-2024-6401 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie InsureE GL w wersjach przed 4.6.2.

CVE-2024-8039
Critical

W podatnej aplikacji mobilnej (com.afmobi.boomplayer) występuje niewłaściwa konfiguracja uprawnień, co może prowadzić do ryzyka przejęcia konta użytkownika.

CVE-2024-6656
Critical

Podatność związana z użyciem twardo zakodowanych poświadczeń w oprogramowaniu TNB Mobile Solutions Cockpit umożliwia odczyt wrażliwych ciągów w pliku wykonywalnym. Problem dotyczy wersji oprogramowania przed 2.13.

CVE-2024-40457
Critical

Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.

CVE-2024-8529
Critical

Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_fields' w punkcie końcowym REST API /wp-json/lp/v1/courses/archive-course we wszystkich wersjach do i włącznie z 4.2.7. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-8522
Critical

Wtyczka LearnPress – WordPress LMS Plugin jest podatna na atak typu SQL Injection poprzez parametr 'c_only_fields' w punkcie końcowym REST API /wp-json/learnpress/v1/courses we wszystkich wersjach do 4.2.7 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika parametru oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-44541
Critical

Wersje v4 i wcześniejsze aplikacji evilnapsis Inventio Lite są podatne na atak typu SQL Injection poprzez parametr 'username' w ścieżce '/?action=processlogin'.

PreviousPage 316 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS