CAPEC-1СтандартЧерновик
Доступ к функциональности, не ограниченной ACL должным образом
В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-276
В процессе установки разрешения для устанавливаемых файлов задаются таким образом, что любой пользователь может их изменять.
CWE-285
Продукт не выполняет или некорректно выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить
CWE-434
Продукт допускает загрузку или передачу файлов опасных типов, которые автоматически обрабатываются в его среде.
CWE-693
Программный продукт не использует или некорректно использует механизм защиты, обеспечивающий достаточную защиту от направленных
CWE-732
Программный продукт задаёт разрешения для критически важного с точки зрения безопасности ресурса таким образом, что этот ресурс м
CWE-1191
Микросхема не реализует или некорректно реализует управление доступом для проверки того, авторизованы ли пользователи на доступ
CWE-1193
Продукт активирует компоненты, содержащие ненадёжную прошивку, до того, как включены средства контроля доступа к памяти и шине.
CWE-1220
Продукт реализует управление доступом посредством политики или иной функции с целью запрета или ограничения доступа (чтения и/или
CWE-1297
Продукт не обеспечивает надлежащей защиты конфиденциальной информации на устройстве от доступа к ней со стороны вендоров аутсорс
CWE-1311
Мост некорректно транслирует атрибуты безопасности — из доверенных в недоверенные или из недоверенных в доверенные — при преобр
CWE-1314
Устройство не обеспечивает защиту от записи для параметрических значений данных датчиков, масштабирующих показания датчика, что
CWE-1315
Контроллер шины устанавливает биты в конечной точке фабрики, разрешая устройствам-ответчикам управлять транзакциями на фабрике.
CWE-1318
Межсоединительные архитектуры или шины на кристалле не поддерживают или не настроены на поддержку разделения привилегий или иных
CWE-1320
Недоверенные агенты могут отключать оповещения об условиях превышения сигналами установленных порогов или механизм реагировани
CWE-1321
Продукт получает входные данные от вышестоящего компонента, задающие атрибуты для инициализации или обновления в объекте, однако
CWE-1327
Продукт назначает адрес 0.
Связанные уязвимости
CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-25893FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.10, an authentication bypass vulnerability in FUXA allows an unauthenticated, remote attacker to gain administrative access via the heartbeat refresh API and execute arbitrary code on the server. This issue has been patched in FUXA version 1.2.10.
CVE-2026-25885PolarLearn is a free and open-source learning program. In 0-PRERELEASE-16 and earlier, the group chat WebSocket at wss://polarlearn.nl/api/v1/ws can be used without logging in. An unauthenticated client can subscribe to any group chat by providing a group UUID, and can also send messages to any group. The server accepts the message and stores it in the group’s chatContent, so this is not just a visual spam issue.
CVE-2026-25881SandboxJS is a JavaScript sandboxing library. Prior to 0.8.31, a sandbox escape vulnerability allows sandboxed code to mutate host built-in prototypes by laundering the isGlobal protection flag through array literal intermediaries. When a global prototype reference (e.g., Map.prototype, Set.prototype) is placed into an array and retrieved, the isGlobal taint is stripped, permitting direct prototype mutation from within the sandbox. This results in persistent host-side prototype pollution and may enable RCE in applications that use polluted properties in sensitive sinks (example gadget: execSync(obj.cmd)). This vulnerability is fixed in 0.8.31.
CVE-2026-25150Qwik is a performance focused javascript framework. Prior to version 1.19.0, a prototype pollution vulnerability exists in the formToObj() function within @builder.io/qwik-city middleware. The function processes form field names with dot notation (e.g., user.name) to create nested objects, but fails to sanitize dangerous property names like __proto__, constructor, and prototype. This allows unauthenticated attackers to pollute Object.prototype by sending crafted HTTP POST requests, potentially leading to privilege escalation, authentication bypass, or denial of service. This issue has been patched in version 1.19.0.
CVE-2026-24815Unrestricted Upload of File with Dangerous Type, Deserialization of Untrusted Data vulnerability in datavane tis (tis-plugin/src/main/java/com/qlangtech/tis/extension/impl modules). This vulnerability is associated with program files XmlFile.Java.
This issue affects tis: before v4.3.0.
CVE-2026-24729An unrestricted upload of file with dangerous type vulnerability in the file upload function of Interinfo DreamMaker versions before 2025/10/22 allows remote attackers to execute arbitrary system commands via a malicious class file.
CVE-2026-21628A improperly secured file management feature allows uploads of dangerous data types for unauthenticated users, leading to remote code execution.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird
CVE-2025-9846Уязвимость в Inka.Net версии до 6.7.1 позволяет выполнить инъекцию команд через неограниченную загрузку файлов с опасными типами. Злоумышленник может воспользоваться этой уязвимостью для выполнения произвольного кода [1].
Источники:
- [1] https://www.usom.gov.tr/bildirim/tr-25-0288
CVE-2025-8120В системе управления контентом PAD CMS функция загрузки фотографий допускает контроль над параметром проверки прав доступа, позволяя неаутентифицированному удалённому атакующему загружать файлы любого типа и расширения без ограничений. Такие файлы могут быть впоследствии выполнены, что приводит к удалённому выполнению кода. Уязвимость затрагивает все три шаблона (www, bip, ww+bip) и не будет исправлена, так как продукт находится в статусе End‑Of‑Life [1].
Источники:
- [1] https://cert.pl/posts/2025/09/CVE-2025-7063
CVE-2025-7065В системе PAD CMS функция загрузки фотографий позволяет удалённому злоумышленнику без аутентификации загружать файлы любого типа и расширения без ограничений, что может привести к выполнению произвольного кода (Remote Code Execution). Уязвимость затрагивает все три шаблона: www, bip и ww+bip. Продукт находится в статусе End‑of‑Life, поэтому исправления не планируются.
Источники:
- [1] https://cert.pl/posts/2025/09/CVE-2025-7063
CVE-2025-7063В системе управления контентом PAD CMS (шаблоны www, bip и ww+bip) обнаружена уязвимость проверки прав доступа, позволяющая неаутентифицированному удалённому атакующему загружать файлы произвольного типа и расширения без ограничений. Затем такие файлы могут быть выполнены, что приводит к удалённому выполнению кода (RCE). Продукт более не поддерживается, и исправления не планируются. Рекомендуется отключить PAD CMS или полностью удалить уязвимые шаблоны.
Источники:
- https://cert.pl/posts/2025/09/CVE-2025-7063
CVE-2025-69828File Upload vulnerability in TMS Global Software TMS Management Console v.6.3.7.27386.20250818 allows a remote attacker to execute arbitrary code via the Logo upload in /Customer/AddEdit
CVE-2025-69426The Ruckus vRIoT IoT Controller firmware versions prior to 3.0.0.0 (GA) contain hardcoded credentials for an operating system user account within an initialization script. The SSH service is network-accessible without IP-based restrictions. Although the configuration disables SCP and pseudo-TTY allocation, an attacker can authenticate using the hardcoded credentials and establish SSH local port forwarding to access the Docker socket. By mounting the host filesystem via Docker, an attacker can escape the container and execute arbitrary OS commands as root on the underlying vRIoT controller, resulting in complete system compromise.