CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-8503
Critical

W VICIdial występuje podatność na atak typu SQL injection, która pozwala nieautoryzowanemu atakującemu na enumerację rekordów bazy danych. Domyślnie VICIdial przechowuje hasła w postaci niezaszyfrowanej w bazie danych.

CVE-2024-43040
Critical

System Zarządzania Inteligentnego Renwoxing przed wersją 3.0 zawiera podatność na wstrzyknięcie SQL poprzez parametr parid w ścieżce /fx/baseinfo/SearchInfo.

CVE-2024-40754
Critical

Podatność typu przepełnienie bufora w stercie w silniku JavaScript Escargot firmy Samsung pozwala na przepełnienie buforów. Problem ten dotyczy wersji 4.0.0 silnika Escargot.

CVE-2024-45032
Critical

Zidentyfikowano podatność w Industrial Edge Management Pro (wszystkie wersje < V1.9.5) oraz Industrial Edge Management Virtual (wszystkie wersje < V2.3.1-1). Affected components nieprawidłowo weryfikują tokeny urządzeń, co może umożliwić nieautoryzowanemu atakującemu zdalne podszywanie się pod inne urządzenia zarejestrowane w systemie.

CVE-2024-35783
Critical

Zidentyfikowano podatność w produktach SIMATIC, która dotyczy wielu wersji, w tym SIMATIC BATCH V9.1 oraz SIMATIC WinCC. Problematyczne jest uruchamianie serwera DB z podwyższonymi uprawnieniami, co może umożliwić uwierzytelnionemu atakującemu wykonywanie dowolnych poleceń systemowych z uprawnieniami administratora.

CVE-2024-33698
Critical

Zidentyfikowano podatność w produktach Opcenter Quality, Opcenter RDnL, SIMATIC PCS neo oraz Totally Integrated Automation Portal, które są narażone na atak z wykorzystaniem przepełnienia bufora w stercie w zintegrowanym komponencie UMC. Atakujący bez uwierzytelnienia może wykonać dowolny kod.

CVE-2024-44902
CriticalEPSS 90%

A deserialization vulnerability in ThinkPHP versions 6.1.3 through 8.0.4 allows attackers to execute arbitrary code remotely. The issue stems from unsafe processing of input data during deserialization.

CVE-2024-42500
Critical

HPE zidentyfikowało podatność na odmowę usługi w usługach systemu plików sieciowych (NFSv4) w systemie HPE HP-UX.

CVE-2024-7015
Critical

Podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji w PassBox firmy Profelis Informatics and Consulting umożliwia nadużycie uwierzytelnienia. Problem dotyczy wersji PassBox przed 1.2.

CVE-2024-39714
Critical

Podatność na wstrzykiwanie kodu pozwala użytkownikowi o niskich uprawnieniach na przesyłanie dowolnych plików na serwer, co prowadzi do zdalnego wykonania kodu na serwerze VSPC.

CVE-2024-38650
Critical

Podatność na obejście uwierzytelniania umożliwia atakującemu o niskich uprawnieniach dostęp do hasha NTLM konta serwisowego na serwerze VSPC.

CVE-2024-7493
Critical

Wtyczka WPCOM Member dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.5.2.1. Problem wynika z możliwości przekazywania dowolnych danych do funkcji wp_insert_user() podczas rejestracji.

CVE-2024-45159
Critical

W Mbed TLS 3.x przed wersją 3.6.1 odkryto problem związany z TLS 1.3, który pozwalał na błędne weryfikowanie certyfikatów klienta. Jeśli certyfikat nie miał odpowiednich wartości w rozszerzeniach keyUsage lub extKeyUsage, funkcja mbedtls_ssl_get_verify_result() nie zgłaszała błędów, co umożliwiało atakującemu użycie niewłaściwego certyfikatu do uwierzytelnienia klienta.

CVE-2024-45158
Critical

W Mbed TLS w wersji 3.6 przed 3.6.1 odkryto problem związany z przepełnieniem bufora stosu w funkcjach mbedtls_ecdsa_der_to_raw() oraz mbedtls_ecdsa_raw_to_der(). Przepełnienie może wystąpić, gdy parametr bits jest większy niż największa obsługiwana krzywa.

CVE-2024-44808
Critical

W systemie Vypor Attack API w wersji 1.0 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą parametru GET użytkownika.

CVE-2024-7078
Critical

W podatności CVE-2024-7078 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Semtek Sempos. Problem ten dotyczy wersji oprogramowania do 31 lipca 2024 roku.

CVE-2024-7076
Critical

W podatności CVE-2024-7076 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w oprogramowaniu Semtek Sempos. Problem ten dotyczy wersji oprogramowania dostępnych do 31 lipca 2024 roku.

CVE-2024-44809
Critical

W projekcie Pi Camera, wersja 1.0, występuje podatność na zdalne wykonanie kodu (RCE) spowodowana niewłaściwym oczyszczaniem danych wejściowych przekazywanych do parametru GET 'position' w skrypcie tilt.php. Atakujący może wykorzystać tę lukę, wysyłając spreparowane dane, co pozwala na wykonanie dowolnych poleceń na serwerze z uprawnieniami użytkownika serwera WWW.

CVE-2024-4259
Critical

W SAMPAŞ Holding AKOS (AkosCepVatandasService) oraz AKOS (TahsilatService) występuje luka związana z brakiem autoryzacji, która pozwala na zbieranie danych dostarczonych przez użytkowników. Problem dotyczy wersji AKOS (AkosCepVatandasService) przed V2.0 oraz AKOS (TahsilatService) przed V1.0.7.

CVE-2024-45623
Critical

D-Link DAP-2310 w wersji oprogramowania sprzętowego 1.16RC028 pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przepełnienie bufora na stosie w binarnym pliku ATP, który obsługuje żądania HTTP GET PHP dla serwera Apache HTTP. Podatność ta dotyczy tylko produktów, które nie są już wspierane przez producenta.

PreviousPage 317 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS