CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W VICIdial występuje podatność na atak typu SQL injection, która pozwala nieautoryzowanemu atakującemu na enumerację rekordów bazy danych. Domyślnie VICIdial przechowuje hasła w postaci niezaszyfrowanej w bazie danych.
System Zarządzania Inteligentnego Renwoxing przed wersją 3.0 zawiera podatność na wstrzyknięcie SQL poprzez parametr parid w ścieżce /fx/baseinfo/SearchInfo.
Podatność typu przepełnienie bufora w stercie w silniku JavaScript Escargot firmy Samsung pozwala na przepełnienie buforów. Problem ten dotyczy wersji 4.0.0 silnika Escargot.
Zidentyfikowano podatność w Industrial Edge Management Pro (wszystkie wersje < V1.9.5) oraz Industrial Edge Management Virtual (wszystkie wersje < V2.3.1-1). Affected components nieprawidłowo weryfikują tokeny urządzeń, co może umożliwić nieautoryzowanemu atakującemu zdalne podszywanie się pod inne urządzenia zarejestrowane w systemie.
Zidentyfikowano podatność w produktach SIMATIC, która dotyczy wielu wersji, w tym SIMATIC BATCH V9.1 oraz SIMATIC WinCC. Problematyczne jest uruchamianie serwera DB z podwyższonymi uprawnieniami, co może umożliwić uwierzytelnionemu atakującemu wykonywanie dowolnych poleceń systemowych z uprawnieniami administratora.
Zidentyfikowano podatność w produktach Opcenter Quality, Opcenter RDnL, SIMATIC PCS neo oraz Totally Integrated Automation Portal, które są narażone na atak z wykorzystaniem przepełnienia bufora w stercie w zintegrowanym komponencie UMC. Atakujący bez uwierzytelnienia może wykonać dowolny kod.
A deserialization vulnerability in ThinkPHP versions 6.1.3 through 8.0.4 allows attackers to execute arbitrary code remotely. The issue stems from unsafe processing of input data during deserialization.
HPE zidentyfikowało podatność na odmowę usługi w usługach systemu plików sieciowych (NFSv4) w systemie HPE HP-UX.
Podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji w PassBox firmy Profelis Informatics and Consulting umożliwia nadużycie uwierzytelnienia. Problem dotyczy wersji PassBox przed 1.2.
Podatność na wstrzykiwanie kodu pozwala użytkownikowi o niskich uprawnieniach na przesyłanie dowolnych plików na serwer, co prowadzi do zdalnego wykonania kodu na serwerze VSPC.
Podatność na obejście uwierzytelniania umożliwia atakującemu o niskich uprawnieniach dostęp do hasha NTLM konta serwisowego na serwerze VSPC.
Wtyczka WPCOM Member dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.5.2.1. Problem wynika z możliwości przekazywania dowolnych danych do funkcji wp_insert_user() podczas rejestracji.
W Mbed TLS 3.x przed wersją 3.6.1 odkryto problem związany z TLS 1.3, który pozwalał na błędne weryfikowanie certyfikatów klienta. Jeśli certyfikat nie miał odpowiednich wartości w rozszerzeniach keyUsage lub extKeyUsage, funkcja mbedtls_ssl_get_verify_result() nie zgłaszała błędów, co umożliwiało atakującemu użycie niewłaściwego certyfikatu do uwierzytelnienia klienta.
W Mbed TLS w wersji 3.6 przed 3.6.1 odkryto problem związany z przepełnieniem bufora stosu w funkcjach mbedtls_ecdsa_der_to_raw() oraz mbedtls_ecdsa_raw_to_der(). Przepełnienie może wystąpić, gdy parametr bits jest większy niż największa obsługiwana krzywa.
W systemie Vypor Attack API w wersji 1.0 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą parametru GET użytkownika.
W podatności CVE-2024-7078 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Semtek Sempos. Problem ten dotyczy wersji oprogramowania do 31 lipca 2024 roku.
W podatności CVE-2024-7076 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w oprogramowaniu Semtek Sempos. Problem ten dotyczy wersji oprogramowania dostępnych do 31 lipca 2024 roku.
W projekcie Pi Camera, wersja 1.0, występuje podatność na zdalne wykonanie kodu (RCE) spowodowana niewłaściwym oczyszczaniem danych wejściowych przekazywanych do parametru GET 'position' w skrypcie tilt.php. Atakujący może wykorzystać tę lukę, wysyłając spreparowane dane, co pozwala na wykonanie dowolnych poleceń na serwerze z uprawnieniami użytkownika serwera WWW.
W SAMPAŞ Holding AKOS (AkosCepVatandasService) oraz AKOS (TahsilatService) występuje luka związana z brakiem autoryzacji, która pozwala na zbieranie danych dostarczonych przez użytkowników. Problem dotyczy wersji AKOS (AkosCepVatandasService) przed V2.0 oraz AKOS (TahsilatService) przed V1.0.7.
D-Link DAP-2310 w wersji oprogramowania sprzętowego 1.16RC028 pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przepełnienie bufora na stosie w binarnym pliku ATP, który obsługuje żądania HTTP GET PHP dla serwera Apache HTTP. Podatność ta dotyczy tylko produktów, które nie są już wspierane przez producenta.

