CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W SAMPAŞ Holding AKOS (AkosCepVatandasService) oraz AKOS (TahsilatService) występuje luka związana z brakiem autoryzacji, która pozwala na zbieranie danych dostarczonych przez użytkowników. Problem dotyczy wersji AKOS (AkosCepVatandasService) przed V2.0 oraz AKOS (TahsilatService) przed V1.0.7.
D-Link DAP-2310 w wersji oprogramowania sprzętowego 1.16RC028 pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przepełnienie bufora na stosie w binarnym pliku ATP, który obsługuje żądania HTTP GET PHP dla serwera Apache HTTP. Podatność ta dotyczy tylko produktów, które nie są już wspierane przez producenta.
ASIS (znany również jako Aplikasi Sistem Sekolah korzystający z CodeIgniter 3) w wersjach od 3.0.0 do 3.2.0 umożliwia wstrzyknięcie SQL w parametrze username w pliku index.php, co prowadzi do ominięcia uwierzytelnienia.
W podatności CVE-2024-6919 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie NACPremium firmy NAC Telecommunication Systems Inc. Problem ten dotyczy wersji NACPremium do 8 stycznia 2024 roku.
An issue was discovered in libexpat before version 2.6.3, which can lead to an integer overflow in the nextScaffoldPart function in xmlparse.c on 32-bit platforms.
An issue was discovered in libexpat before version 2.6.3 related to integer overflow in the dtdCopy function in xmlparse.c. This issue occurs on 32-bit platforms where UINT_MAX equals SIZE_MAX.
One Identity Safeguard for Privileged Passwords w wersjach przed 7.5.2 umożliwia nieautoryzowany dostęp z powodu problemu z ciasteczkami. Problem ten dotyczy jedynie instalacji na wirtualnych urządzeniach (VMware lub HyperV).
A reflected cross-site scripting (XSS) vulnerability was found in the viewname parameter on the index page of vTiger CRM 7.4.0. It allows an attacker to execute arbitrary JavaScript code in the victim's browser by injecting a crafted payload.
A reflected cross-site scripting (XSS) vulnerability exists in the 'parent' parameter of the index page in vTiger CRM 7.4.0. Attackers can execute arbitrary JavaScript code in the victim's browser by injecting a crafted payload.
A reflected XSS vulnerability was found in vTiger CRM 7.4.0 in the 'tag' parameter on the index page. An attacker can inject malicious JavaScript that executes in the victim's browser.
W podatności CVE-2024-43955 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co prowadzi do możliwości manipulacji plikami w aplikacji Themeum Droip. Problem ten dotyczy wersji Droip od n/a do 1.1.1.
W podatności CVE-2024-39622 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w CridioStudio ListingPro. Problem dotyczy wersji ListingPro od n/a do 2.9.4 włącznie.
Wtyczka ListingPro w CridioStudio zawiera podatność na wstrzykiwanie SQL z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy wersji ListingPro od n/a do 2.9.4 włącznie.
W portalu zarządzania Menulux Information Technologies występuje luka związana z brakiem uwierzytelnienia i autoryzacji dla krytycznych funkcji, co pozwala na zbieranie danych dostarczonych przez użytkowników.
DCME-320 w wersji 7.4.12.60 firmy Beijing Digital China Cloud Technology Co., Ltd. zawiera podatność na wykonanie polecenia, która może być wykorzystana do uzyskania uprawnień administratora urządzenia za pomocą funkcji getVar w pliku code/function/system/tool/ping.php.
Podatność CVE-2024-7071 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w aplikacji Brain Low-Code przed wersją 2.1.0.
W BPQ32 HTTP Server w wersji 6.0.24.1 występuje przepełnienie bufora oparte na SEH, które pozwala zdalnym atakującym z dostępem do Web Terminal na zdalne wykonanie kodu poprzez żądanie HTTP POST /TermInput.
W podatności CVE-2024-8161 występuje luka typu SQL injection w ATISolutions CIGES, która dotyczy wersji poniżej 2.15.5. Umożliwia to zdalnemu atakującemu wysłanie specjalnie skonstruowanego zapytania SQL do punktu /modules/ajaxServiciosCentro.php w parametrze idCentro, co pozwala na uzyskanie wszystkich informacji przechowywanych w bazie danych.
W wersji 2.0 BYOB (Build Your Own Botnet) występuje problem z zapisem dowolnych plików w punkcie wycieków, który pozwala atakującym na nadpisywanie baz danych SQLite oraz obejście uwierzytelnienia za pomocą nieautoryzowanego żądania HTTP z odpowiednio skonstruowanym parametrem. Problem ten występuje w funkcji file_add w pliku api/files/routes.py.
Pakiet req w wersjach przed 3.43.4 dla Go może wysyłać niezamierzone żądanie, gdy dostarczony zostanie niepoprawny URL. Wynika to z zastosowania w funkcji cleanHost zasady 'śmieci w, śmieci out'.

