CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W wersji 1.0 calculator-boilerplate odkryto podatność na zdalne wykonanie kodu (RCE) poprzez funkcję eval w pliku /routes/calculator.js. Atakujący mogą wykonać dowolny kod, wprowadzając odpowiednio przygotowany ładunek do pola wejściowego.
W podatności CVE-2024-0857 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie FlexWater Corporate Water Management przed wersją 5.452.0.
Podatność CVE-2024-5619 dotyczy konsoli zarządzania Apinizer w PruvaSoft Informatics, gdzie występuje możliwość obejścia autoryzacji poprzez klucz kontrolowany przez użytkownika. Problem ten wynika z nieprawidłowo skonfigurowanych poziomów zabezpieczeń kontroli dostępu.
Podatność CVE-2024-5618 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w konsoli zarządzania PruvaSoft Informatics Apinizer, co pozwala na dostęp do funkcjonalności, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji konsoli przed 2024.05.1.
W handlerze vrrp_ipsets_handler (fglobal_parser.c) w keepalived do wersji 2.3.1 może wystąpić przepełnienie całkowitej liczby całkowitej. Należy zauważyć, że ta podatność może nie być istotna, ponieważ pusta nazwa ipset musi być skonfigurowana przez użytkownika.
Podatność w APIML Spring Cloud Gateway wykorzystuje uprawnienia użytkownika poprzez nieoczekiwane podpisywanie żądania proxy przez certyfikat klienta Zowe. Umożliwia to dostęp do punktów końcowych wymagających wewnętrznego certyfikatu klienta bez potrzeby posiadania jakichkolwiek poświadczeń.
Wtyczka 简数采集器 (Keydatas) dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji keydatas_downloadImages we wszystkich wersjach do i włącznie z 2.5.2. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Wtyczka HUSKY – Products Filter Professional dla WooCommerce w WordPressie jest podatna na atak typu SQL Injection opartego na czasie poprzez parametr 'woof_author' we wszystkich wersjach do 1.3.6 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
A Directory Traversal vulnerability in xmind2testcase v.1.5 allows a remote attacker to execute arbitrary code via the webtool/application.py component.
Zidentyfikowano potencjalną podatność bezpieczeństwa w niektórych produktach HP PC wykorzystujących BIOS AMI, która może umożliwić wykonanie dowolnego kodu. Firma AMI wydała aktualizacje oprogramowania układowego w celu złagodzenia tej podatności.
TorrentPier to otwartoźródłowy silnik trackerów BitTorrent, napisany w PHP. W pliku `torrentpier/library/includes/functions.php`, funkcja `get_tracks()` wykorzystuje niebezpieczny format serializacji PHP do deserializacji ciasteczek kontrolowanych przez użytkownika, co może prowadzić do wykonania dowolnego kodu PHP na systemie.
Thruk to interfejs monitorujący dla Naemon, Nagios, Icinga i Shinken, który wykorzystuje API Livestatus. W Thruk występuje podatność na zdalne wykonanie kodu (RCE), która pozwala autoryzowanym użytkownikom z dostępem do sieci na wstrzykiwanie dowolnych poleceń za pomocą parametru URL podczas generowania raportu PDF.
Podatność CVE-2024-38736 dotyczy wtyczki Realtyna Organic IDX, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wstrzykiwania kodu. Problem ten występuje w wersjach od n/a do 4.14.13.
Podatność CVE-2024-38734 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji SpreadsheetConverter, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Import Spreadsheets from Microsoft Excel od n/a do 10.1.4.
W podatności CVE-2024-37933 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Woocommerce OpenPos. Problem ten dotyczy wersji Woocommerce OpenPos od n/a do 6.4.4.
Podatność związana z nieprawidłowym przypisaniem uprawnień w NooTheme Jobmonster (wersje do 4.7.5) umożliwia eskalację uprawnień. Problem ten dotyczy wtyczki Jobmonster.
Wtyczka MStore API – Create Native Android & iOS Apps On The Cloud dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie 4.14.7. Problem wynika z niewystarczającej weryfikacji parametru 'phone' w funkcjach 'firebase_sms_login' i 'firebase_sms_login_v2'.
Wykryto problem w oprogramowaniu układowym BMC Supermicro na wybranych płytach głównych X11, X12, H12, B12, X13, H13 i B13 (oraz modułach CMM6). Nieautoryzowany użytkownik może przesłać spreparowane dane do interfejsu, co prowadzi do przepełnienia bufora stosu i może skutkować zdalnym wykonaniem dowolnego kodu na BMC.
Wtyczka JSON API User dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.9.3 włącznie. Problem wynika z niewłaściwych kontroli nad niestandardowymi polami meta użytkowników, co umożliwia nieautoryzowanym atakującym rejestrację jako administratorzy na stronie.
Wtyczka InstaWP Connect – 1-click WP Staging & Migration dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 0.1.0.44. Problem wynika z niewystarczającej weryfikacji klucza API, co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.

