CAPEC-133СтандартЧерновик
Перебор всех распространённых ключей и параметров
Злоумышленник пытается задействовать все распространённые ключи и параметры в целевом приложении с целью обнаружения слабостей. Например, в некоторых приложениях добавление ключа --debug приводит к отображению отладочной информации, которая иногда позволяет злоумышленнику получить конфиденциальные сведения об обработке или конфигурации. Данная атака отличается от других форм злоупотребления API тем, что злоумышленник бессистемно пытается задействовать параметры в надежде, что хотя бы один из них сработает, а не целенаправленно атакует известный параметр. Тем не менее, даже если злоумышленник знаком с опубликованными параметрами целевого приложения, данный метод может оказаться результативным, поскольку позволяет обнаружить незадокументированную функциональность.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2026-3587Неаутентифицированный удаленный злоумышленник может использовать скрытую функцию в подсказке CLI, чтобы избежать ограниченного интерфейса, что приводит к полной компрометации устройства.
CVE-2026-7413Скрытый, постоянный бэкдор был найден в прошивке Yarbo v2.3.9, которая обеспечивает удаленный, неаутентифицированный (или слабоутвержденный) доступ к привилегированной функциональности. Бэкдор не имеет документов, не может быть отключен с помощью пользовательских настроек и выдерживает заводской сброс и обычные обновления прошивки.
CVE-2025-32370Kentico Xperience до версии 13.0.178 имеет определенный набор разрешенных расширений файлов ContentUploader для неаутентифицированных загрузок; однако, поскольку .zip обрабатывается через TryZipProviderSafe, существует дополнительная функциональность для создания файлов с другими расширениями. ПРИМЕЧАНИЕ: это отдельная проблема, не обязательно связанная со SVG или XSS.
CVE-2024-45697Некоторые модели беспроводных маршрутизаторов D-Link имеют скрытую функциональность, при которой служба telnet включается при подключении порта WAN. Неавторизованные удаленные злоумышленники могут войти в систему и выполнять команды ОС, используя жестко запрограммированные учетные данные.
CVE-2024-39754В функциональности wctrls устройства Wavlink AC3000 M33A8.V5030.210505 существует уязвимость статического входа в систему. Специально созданный набор сетевых пакетов может привести к получению root-доступа. Злоумышленник может отправить пакеты для активации этой уязвимости.
CVE-2024-28011Уязвимость скрытой функциональности в NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200HP2, W1200EX(-MS), WG1200HS, WG1200HP, WF300HP2, W300P, WF800HP, WR8165N, WG2200HP, WF1200HP2, WG1800HP2, WF1200HP, WG600HP, WG300HP, WF300HP, WG1800HP, WG1400HP, WR8175N, WR9300N, WR8750N, WR8160N, WR9500N, WR8600N, WR8370N, WR8170N, WR8700N, WR8300N, WR8150N, WR4100N, WR4500N, WR8100N, WR8500N, CR2500P, WR8400N, WR8200N, WR1200H, WR7870S, WR6670S, WR7850S, WR6650S, WR6600H, WR7800H, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR8166N, MR01LN MR02LN, WG1810HP(JE) и WG1810HP(MF) всех версий позволяет злоумышленнику выполнять произвольную команду ОС с правами root через Интернет.
CVE-2024-20439Уязвимость в Cisco Smart Licensing Utility (CSLU) может позволить неаутентифицированному удаленному злоумышленнику войти в затронутую систему, используя статические административные учетные данные.
Эта уязвимость возникает из-за недокументированных статических учетных данных пользователя для административной учетной записи. Злоумышленник может использовать данную уязвимость, используя статические учетные данные для входа в затронутую систему. Успешная эксплуатация может позволить злоумышленнику войти в затронутую систему с административными правами через API приложения CSLU.
CVE-2023-24108В MvcTools 6d48cd6830fc1df1d8c9d61caa1805fd6a1b7737 обнаружена бэкдор для выполнения кода через пакет request (requirements.txt). Эта уязвимость позволяет злоумышленникам получать доступ к конфиденциальной информации пользователя и выполнять произвольный код.
CVE-2022-47767Бэкдор в продуктах Solar-Log Gateway позволяет удаленный доступ через веб-панель, получие суперадминистрирование привилегий для злоумышленника. Это влияет на устройства Solar-Log, которые используют прошивку версии v4.2.7 до v5.1.1 (в комплекте). Это не существует в SL 200, 500, 1000 / фиксированном в 4.2.8 для SL 250, 300, 1200, 2000, SL 50 Gateway / исправленный в 5.1.2 / 6.0.0 для SL Base.
CVE-2022-46997В Passhunt commit 54eb987d30ead2b8ebbf1f0b880aa14249323867 обнаружена лазейка для выполнения кода через пакет request. Эта уязвимость позволяет злоумышленникам получать доступ к конфиденциальной информации о пользователях и ключам цифровой валюты, а также повышать привилегии.
CVE-2022-46996В vSphere_selfuse commit 2a9fe074a64f6a0dd8ac02f21e2f10d66cac5749 обнаружена лазейка для выполнения кода через пакет request. Эта уязвимость позволяет злоумышленникам получать доступ к конфиденциальной информации о пользователях и ключам цифровой валюты, а также повышать привилегии.
CVE-2022-3203На ORing net IAP-420(+) с версией FW 2.0m по умолчанию включен telnet-сервер, который нельзя отключить навсегда. Вы можете подключиться к устройству через LAN или WiFi с жестко заданными учетными данными и получить административную оболочку. Эти учетные данные сбрасываются к значениям по умолчанию при каждой перезагрузке.
CVE-2021-43987В mySCADA myPRO версий 8.20.0 и более ранних существует дополнительная, недокументированная учетная запись администратора, которая не отображается через веб-интерфейс и не может быть удалена или изменена через обычный веб-интерфейс.
CVE-2021-24867Многочисленные плагины и темы от поставщика AccessPress Themes (aka Access Keys) имеют бэкдоры из-за взлома их веб-сайта. Затронуты только плагины и темы, загруженные через веб-сайт поставщика, а размещенные на wordpress.org - нет. Однако все они были обновлены или удалены, чтобы избежать путаницы.
CVE-2020-16204Уязвимость затронутого продукта вызвана недокументированным интерфейсом, обнаруженным на устройстве, который может позволить злоумышленнику выполнять команды от имени root на устройстве N-Tron 702-W / 702M12-W (все версии).