CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-7568
Critical

Wtyczka Favicon Generator dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 1.5 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji output_sub_admin_page_0, co umożliwia nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze poprzez sfałszowane żądanie.

CVE-2024-7954
Critical

Wtyczka porte_plume używana przez SPIP przed wersjami 4.30-alpha2, 4.2.13 i 4.1.16 jest podatna na wykonanie dowolnego kodu. Zdalny, nieautoryzowany atakujący może wykonać dowolny kod PHP jako użytkownik SPIP, wysyłając odpowiednio skonstruowane żądanie HTTP.

CVE-2024-42531
Critical

The Ezviz Internet PT Camera CS-CV246 D15655150 allows an unauthenticated host to access its live video stream by crafting a set of RTSP packets with specific URLs that can redirect the camera feed. The vendor claims that the sample code can establish RTSP communication but cannot obtain video or audio data, thus no risk.

CVE-2023-6452
Critical

Podatność CVE-2023-6452 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Forcepoint Web Security, co prowadzi do możliwości wystąpienia trwałego ataku typu Cross-Site Scripting (XSS). Atakujący mogą wykorzystać pole 'user agent' w Transaction Viewer, aby wstrzyknąć złośliwy kod JavaScript.

CVE-2024-36445
Critical

Urządzenia Swissphone DiCal-RED 4009 umożliwiają zdalnemu atakującemu uzyskanie dostępu do powłoki root poprzez TELNET bez uwierzytelnienia.

CVE-2024-36439
Critical

Urządzenia Swissphone DiCal-RED 4009 umożliwiają zdalnemu atakującemu uzyskanie dostępu do interfejsu administracyjnego poprzez wartość hasha hasła urządzenia, bez znajomości rzeczywistego hasła.

CVE-2024-45163
Critical

Botnet Mirai do 19 sierpnia 2024 roku niewłaściwie obsługuje jednoczesne połączenia TCP z serwerem CNC (command and control). Sesje nieautoryzowane pozostają otwarte, co prowadzi do zużycia zasobów.

CVE-2024-6386
Critical

Wtyczka WPML dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.6.12 z powodu wstrzyknięcia szablonów Twig po stronie serwera. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.

CVE-2024-28000
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w LiteSpeed Technologies LiteSpeed Cache. Problem ten dotyczy wersji LiteSpeed Cache od n/a do 6.3.0.1.

CVE-2024-33872
Critical

Keyfactor Command w wersjach 10.5.x przed 10.5.1 oraz 11.5.x przed 11.5.1 zawiera podatność na atak typu SQL Injection, co może prowadzić do wykonania kodu oraz eskalacji uprawnień.

CVE-2024-42559
Critical

W systemie zarządzania hotelami występuje problem w komponencie logowania (process_login.php), który pozwala atakującym na uwierzytelnienie się bez podawania prawidłowego hasła.

CVE-2024-43354
Critical

Podatność CVE-2024-43354 dotyczy deserializacji niezaufanych danych w wtyczce myCred, która jest używana w systemie zarządzania treścią. Problem ten występuje w wersjach od n/a do 2.7.2 włącznie.

CVE-2024-43311
Critical

Podatność związana z niewłaściwym zarządzaniem uprawnieniami w Geek Code Lab Login As Users umożliwia eskalację uprawnień. Problem ten dotyczy wersji Login As Users od n/a do 1.4.2.

CVE-2024-43261
Critical

W podatności CVE-2024-43261 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co umożliwia zdalne dołączanie plików. Problem dotyczy wersji Compute Links od n/a do 1.2.1.

CVE-2024-43252
Critical

Podatność związana z deserializacją niezaufanych danych w systemie Crew HRM, która dotyczy wersji od n/a do 1.1.1 włącznie. Może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji.

CVE-2024-43245
Critical

Podatność w zarządzaniu uprawnieniami w aplikacji eyecix JobSearch umożliwia eskalację uprawnień. Problem ten dotyczy wersji JobSearch od n/a do 2.3.4.

CVE-2024-43242
Critical

Podatność CVE-2024-43242 dotyczy deserializacji niezaufanych danych w wtyczce Ultimate Membership Pro. Problem ten występuje w wersjach od n/a do 12.7 włącznie.

CVE-2024-43240
Critical

Podatność związana z niewłaściwą autoryzacją w wtyczce Ultimate Membership Pro od azzaroco. Problem ten dotyczy wersji Ultimate Membership Pro od n/a do 12.7 włącznie.

CVE-2024-6500
Critical

Wtyczki InPost dla WooCommerce oraz InPost PL dla WordPress są podatne na nieautoryzowany dostęp i usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji 'parse_request' we wszystkich wersjach do 1.4.0 (dla InPost dla WooCommerce) oraz 1.4.4 (dla InPost PL). Umożliwia to nieautoryzowanym atakującym odczyt i usuwanie dowolnych plików na serwerach Windows.

CVE-2024-42850
CriticalEPSS 70%

In Silverpeas version 6.4.2 and lower, the password change function does not enforce password complexity requirements, allowing weak passwords to be set.

PreviousPage 319 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS