Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Wykorzystanie kryptograficznie słabego generatora liczb pseudolosowych (PRNG) w generatorze tokenów uwierzytelniających SSLVPN SonicOS, który w niektórych przypadkach może być przewidywalny przez atakującego, co potencjalnie prowadzi do ominięcia uwierzytelnienia.
Podatność w Pingvin Share umożliwia uwierzytelnionym lub nieuwierzytelnionym użytkownikom (jeśli dozwolone są anonimowe udostępnienia) nadpisywanie dowolnych plików na serwerze, w tym wrażliwych plików systemowych, za pomocą żądań HTTP POST. Problem został naprawiony w wersji 1.4.0.
Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.24.12 poprzez parametr cookie 'wfu_ABSPATH'. Umożliwia to nieautoryzowanym atakującym wykonanie kodu na serwerze.
Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.
I, Librarian w wersjach do 5.11.1 jest podatny na atak typu Server-Side Request Forgery (SSRF) z powodu niewłaściwej walidacji danych wejściowych w pliku classes/security/validation.php.
W podatności XXE (XML External Entity) w Intersec Geosafe-ea w wersjach 2022.12, 2022.13 i 2022.14, atakujący mogą przeprowadzać odczyt dowolnych plików z uprawnieniami działającego procesu, wykonywać żądania SSRF lub powodować Denial of Service (DoS) za pomocą nieokreślonych wektorów.
W Ovidentia 8.3 zidentyfikowano problem związany z funkcją przesyłania plików, która nie blokuje przesyłania plików wykonywalnych. Użytkownik może przesłać plik .png zawierający kod PHP, a następnie zmienić jego nazwę na .php, co umożliwia zdalne wykonanie kodu.
W sterowniku SmSerl64.sys w Motorola SM56 Modem WDM Driver v6.12.23.0 występuje podatność, która pozwala użytkownikom o niskich uprawnieniach na mapowanie pamięci fizycznej za pomocą specjalnie przygotowanych żądań IOCTL. Może to prowadzić do eskalacji uprawnień, wykonania kodu z wysokimi uprawnieniami oraz ujawnienia informacji.
W AdPortal 3.0.39 wykryto obejście mechanizmu przesyłania plików, które umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików.
W AdPortal 3.0.39 wykryto podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Zdalny atakujący może wykorzystać parametry shippingAsBilling i firstname w pliku updateuserinfo.html do wykonania dowolnego kodu.
W przeglądarce Firefox 133 i kliencie pocztowym Thunderbird 133 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu.
Podatność w Crater Invoice pozwala nieautoryzowanemu atakującemu, który zna APP_KEY, na zdalne wykonanie poleceń na serwerze poprzez manipulację ciasteczkiem laravel_session. Wykorzystanie tej podatności opiera się na uzyskaniu tajnego APP_KEY, co umożliwia deszyfrowanie i manipulację danymi sesji.
W podatności CVE-2024-56290 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.2.
Podatność CVE-2024-56284 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce SSL Wireless SMS Notification w wersjach od n/a do 3.5.0.
Podatność CVE-2024-56278 dotyczy wtyczki WP Ultimate Exporter od Smackcoders Inc., która pozwala na zdalne dołączanie plików PHP z powodu niewłaściwej kontroli generowania kodu. Problem ten występuje w wersjach od n/a do 2.9.1 włącznie.
W podatności CVE-2024-49649 występuje niewłaściwe kontrolowanie nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem dotyczy aplikacji Build App Online w wersjach od n/a do 1.0.23.
Podatność na deserializację niezaufanych danych w WPGuppy wpguppy-lite umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji WPGuppy od n/a do 1.1.0 włącznie.
Podatność CVE-2024-43243 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji themeglow JobBoard. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Wtyczka SakolaWP do systemu zarządzania szkołą w WordPressie jest podatna na eskalację uprawnień we wszystkich wersjach do 1.0.8 włącznie. Problem wynika z funkcji rejestracji, która nie ogranicza właściwie ról, jakie użytkownik może przyjąć podczas rejestracji.
Wtyczka PayU CommercePro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.8.3 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika w punktach końcowych REST API, co umożliwia nieautoryzowanym atakującym tworzenie nowych kont administracyjnych.

