V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
CAPEC-121СтандартСтабильный
Абстракция: Стандарт
Статус: Стабильный
Источник ↗

Эксплуатация непроизводственных интерфейсов

Нет описания.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-489
Продукт выпускается с сохранённым включённым или активным отладочным кодом.
CWE-1209
Зарезервированные биты в аппаратном проекте не отключены перед выпуском в производство.
CWE-1259
Система на кристалле (SoC) реализует механизм токенов безопасности для разграничения разрешённых и запрещённых действий в зависимо
CWE-1267
Продукт использует устаревший механизм кодирования для реализации управления доступом.
CWE-1270
Продукт реализует механизм токенов безопасности для разграничения допустимых и недопустимых действий при поступлении транзакци
CWE-1294
Система на кристалле (SoC) реализует механизм идентификаторов безопасности для разграничения допустимых и недопустимых действий п
CWE-1295
Продукт не обеспечивает надлежащего предотвращения раскрытия избыточной и потенциально чувствительной системной информации в о
CWE-1296
Компоненты отладки продукта содержат некорректную цепочку или гранулярность компонентов отладки.
CWE-1302
Продукт реализует механизм идентификаторов безопасности для разграничения допустимых и недопустимых действий при поступлении т
CWE-1313
Во время выполнения аппаратные средства допускают активацию тестовой или отладочной логики (функции), что позволяет изменять сост

Связанные уязвимости

CVE-2025-46674Ververica Platform версии 2.14.0 позволяет пользователям с низкими привилегиями доступаться к SQL-коннекторам через прямой запрос namespaces/default/formats [1]. Источники: - [1] https://github.com/ververica/ververica-platform-playground - [2] https://www.ververica.com - [3] https://github.com/gozan10/cve/issues/18
CVE-2024-9643Маршрутизатор Four-Faith F3x36 с использованием прошивки v2.0.0 уязвим для обхода аутентификации из-за жестко заданных учетных данных в административном веб-сервере. Злоумышленник, знающий учетные данные, может получить административный доступ через специально созданные HTTP-запросы. Эта проблема кажется похожей на CVE-2023-32645.
CVE-2024-46873Множество маршрутизаторов SHARP оставляют включенной скрытую функцию отладки. Произвольная команда ОС может быть выполнена с правами root удаленным не прошедшим проверку подлинности злоумышленником.
CVE-2024-36533Небезопасные разрешения в volcano v1.8.2 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.
CVE-2024-32047Жестко запрограммированные учетные данные для тестового сервера CyberPower PowerPanel можно найти в производственном коде. Это может привести к тому, что злоумышленник получит доступ к тестовому или производственному серверу.
CVE-2024-28008Активный отладочный код в NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN MR02LN, WG1810HP(JE) и WG1810HP(MF) всех версий позволяет злоумышленнику выполнять произвольную команду ОС через Интернет.
CVE-2024-21785Уязвимость, связанная с оставшимся кодом отладки, существует в функциональности интерфейса диагностики Telnet во время работы AutomationDirect P3-550E 1.2.10.9. Специально составленная последовательность сетевых запросов может привести к несанкционированному доступу. Злоумышленник может отправить последовательность запросов, чтобы вызвать эту уязвимость.
CVE-2023-4804Неавторизованный пользователь может получить доступ к функциям отладки в продуктах Quantum HD Unity, которые были случайно предоставлены.
CVE-2023-34346Существует уязвимость переполнения буфера на основе стека в функциональности get gwcfg.cgi httpd Yifan YF325 v1.0_20221108. Специально созданный сетевой пакет может привести к выполнению команд. Злоумышленник может отправить сетевой запрос, чтобы вызвать эту уязвимость.
CVE-2023-32645Уязвимость оставшегося отладочного кода существует в функциональности учетных данных отладки httpd Yifan YF325 v1.0_20221108. Специально созданный сетевой запрос может привести к обходу аутентификации. Злоумышленник может отправить сетевой запрос, чтобы вызвать эту уязвимость.
CVE-2023-2882Уязвимость Generation of Incorrect Security Tokens в CBOT Chatbot позволяет осуществлять олицетворение токена, злоупотребление привилегиями. Эта проблема затрагивает Chatbot: до Core: v4.0.3.4 Panel: v4.0.3.7.
CVE-2023-22357Активный код отладки существует во всех версиях OMRON CP1L-EL20DR-D, что может привести к выполнению команды, не указанной в протоколе FINS, без аутентификации. Удаленный неаутентифицированный злоумышленник может читать/записывать в произвольную область памяти устройства, что может привести к перезаписи прошивки, вызывая отказ в обслуживании (DoS) и/или выполнению произвольного кода.
CVE-2023-0954Функция отладки в камерах Sensormatic Electronics Illustra Pro Gen 4 Dome и PTZ позволяет пользователю скомпрометировать учетные данные после длительного периода продолжительной атаки.
CVE-2022-32585В функциональности clish art2 Robustel R1510 3.3.0 существует уязвимость выполнения команд. Специально созданный сетевой запрос может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность запросов, чтобы вызвать эту уязвимость.
CVE-2022-29520Существует уязвимость внедрения команды ОС в функциональности console_main_loop :sys Abode Systems, Inc. iota All-In-One Security Kit 6.9Z. Специально созданный XCMD может привести к выполнению произвольной команды. Злоумышленник может отправить XML-полезную нагрузку для запуска этой уязвимости.