CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-39173
Critical

W wersji 1.0 calculator-boilerplate odkryto podatność na zdalne wykonanie kodu (RCE) poprzez funkcję eval w pliku /routes/calculator.js. Atakujący mogą wykonać dowolny kod, wprowadzając odpowiednio przygotowany ładunek do pola wejściowego.

CVE-2024-0857
Critical

W podatności CVE-2024-0857 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie FlexWater Corporate Water Management przed wersją 5.452.0.

CVE-2024-5619
Critical

Podatność CVE-2024-5619 dotyczy konsoli zarządzania Apinizer w PruvaSoft Informatics, gdzie występuje możliwość obejścia autoryzacji poprzez klucz kontrolowany przez użytkownika. Problem ten wynika z nieprawidłowo skonfigurowanych poziomów zabezpieczeń kontroli dostępu.

CVE-2024-5618
Critical

Podatność CVE-2024-5618 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w konsoli zarządzania PruvaSoft Informatics Apinizer, co pozwala na dostęp do funkcjonalności, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji konsoli przed 2024.05.1.

CVE-2024-41184
Critical

W handlerze vrrp_ipsets_handler (fglobal_parser.c) w keepalived do wersji 2.3.1 może wystąpić przepełnienie całkowitej liczby całkowitej. Należy zauważyć, że ta podatność może nie być istotna, ponieważ pusta nazwa ipset musi być skonfigurowana przez użytkownika.

CVE-2024-6834
Critical

Podatność w APIML Spring Cloud Gateway wykorzystuje uprawnienia użytkownika poprzez nieoczekiwane podpisywanie żądania proxy przez certyfikat klienta Zowe. Umożliwia to dostęp do punktów końcowych wymagających wewnętrznego certyfikatu klienta bez potrzeby posiadania jakichkolwiek poświadczeń.

CVE-2024-6220
Critical

Wtyczka 简数采集器 (Keydatas) dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji keydatas_downloadImages we wszystkich wersjach do i włącznie z 2.5.2. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2024-6457
Critical

Wtyczka HUSKY – Products Filter Professional dla WooCommerce w WordPressie jest podatna na atak typu SQL Injection opartego na czasie poprzez parametr 'woof_author' we wszystkich wersjach do 1.3.6 włącznie. Problem wynika z niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.

CVE-2024-40524
Critical

A Directory Traversal vulnerability in xmind2testcase v.1.5 allows a remote attacker to execute arbitrary code via the webtool/application.py component.

CVE-2024-4143
Critical

Zidentyfikowano potencjalną podatność bezpieczeństwa w niektórych produktach HP PC wykorzystujących BIOS AMI, która może umożliwić wykonanie dowolnego kodu. Firma AMI wydała aktualizacje oprogramowania układowego w celu złagodzenia tej podatności.

CVE-2024-40624
Critical

TorrentPier to otwartoźródłowy silnik trackerów BitTorrent, napisany w PHP. W pliku `torrentpier/library/includes/functions.php`, funkcja `get_tracks()` wykorzystuje niebezpieczny format serializacji PHP do deserializacji ciasteczek kontrolowanych przez użytkownika, co może prowadzić do wykonania dowolnego kodu PHP na systemie.

CVE-2024-39915
Critical

Thruk to interfejs monitorujący dla Naemon, Nagios, Icinga i Shinken, który wykorzystuje API Livestatus. W Thruk występuje podatność na zdalne wykonanie kodu (RCE), która pozwala autoryzowanym użytkownikom z dostępem do sieci na wstrzykiwanie dowolnych poleceń za pomocą parametru URL podczas generowania raportu PDF.

CVE-2024-38736
Critical

Podatność CVE-2024-38736 dotyczy wtyczki Realtyna Organic IDX, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wstrzykiwania kodu. Problem ten występuje w wersjach od n/a do 4.14.13.

CVE-2024-38734
Critical

Podatność CVE-2024-38734 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji SpreadsheetConverter, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Import Spreadsheets from Microsoft Excel od n/a do 10.1.4.

CVE-2024-37933
Critical

W podatności CVE-2024-37933 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Woocommerce OpenPos. Problem ten dotyczy wersji Woocommerce OpenPos od n/a do 6.4.4.

CVE-2024-37927
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w NooTheme Jobmonster (wersje do 4.7.5) umożliwia eskalację uprawnień. Problem ten dotyczy wtyczki Jobmonster.

CVE-2024-6328
Critical

Wtyczka MStore API – Create Native Android & iOS Apps On The Cloud dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie 4.14.7. Problem wynika z niewystarczającej weryfikacji parametru 'phone' w funkcjach 'firebase_sms_login' i 'firebase_sms_login_v2'.

CVE-2024-36435
Critical

Wykryto problem w oprogramowaniu układowym BMC Supermicro na wybranych płytach głównych X11, X12, H12, B12, X13, H13 i B13 (oraz modułach CMM6). Nieautoryzowany użytkownik może przesłać spreparowane dane do interfejsu, co prowadzi do przepełnienia bufora stosu i może skutkować zdalnym wykonaniem dowolnego kodu na BMC.

CVE-2024-6624
Critical

Wtyczka JSON API User dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.9.3 włącznie. Problem wynika z niewłaściwych kontroli nad niestandardowymi polami meta użytkowników, co umożliwia nieautoryzowanym atakującym rejestrację jako administratorzy na stronie.

CVE-2024-6397
Critical

Wtyczka InstaWP Connect – 1-click WP Staging & Migration dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 0.1.0.44. Problem wynika z niewystarczającej weryfikacji klucza API, co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik na stronie.

PreviousPage 322 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS