CAPEC-180СтандартЧерновик
Эксплуатация некорректно настроенных уровней контроля доступа
Злоумышленник эксплуатирует слабость в конфигурации средств контроля доступа и способен обойти предусмотренную этими механизмами защиту, получив тем самым несанкционированный доступ к системе или сети. Чувствительная функциональность всегда должна быть защищена средствами контроля доступа. Однако настройка всех, кроме самых простых, систем контроля доступа может быть весьма сложной задачей, при выполнении которой возможны многочисленные ошибки. Если злоумышленник способен обнаружить некорректно настроенные параметры безопасности доступа, он может эксплуатировать их в атаке.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-732
Программный продукт задаёт разрешения для критически важного с точки зрения безопасности ресурса таким образом, что этот ресурс м
CWE-1190
Продукт включает устройство с поддержкой прямого доступа к памяти (DMA) до того, как установлены параметры конфигурации безопасност
CWE-1191
Микросхема не реализует или некорректно реализует управление доступом для проверки того, авторизованы ли пользователи на доступ
CWE-1193
Продукт активирует компоненты, содержащие ненадёжную прошивку, до того, как включены средства контроля доступа к памяти и шине.
CWE-1220
Продукт реализует управление доступом посредством политики или иной функции с целью запрета или ограничения доступа (чтения и/или
CWE-1268
Аппаратное управление доступом к определённому ресурсу в продукте некорректно учитывает различия привилегий между политиками уп
CWE-1280
Аппаратная проверка управления доступом в продукте происходит уже после того, как доступ к ресурсу был получен.
CWE-1297
Продукт не обеспечивает надлежащей защиты конфиденциальной информации на устройстве от доступа к ней со стороны вендоров аутсорс
CWE-1311
Мост некорректно транслирует атрибуты безопасности — из доверенных в недоверенные или из недоверенных в доверенные — при преобр
CWE-1315
Контроллер шины устанавливает биты в конечной точке фабрики, разрешая устройствам-ответчикам управлять транзакциями на фабрике.
CWE-1318
Межсоединительные архитектуры или шины на кристалле не поддерживают или не настроены на поддержку разделения привилегий или иных
CWE-1320
Недоверенные агенты могут отключать оповещения об условиях превышения сигналами установленных порогов или механизм реагировани
CWE-1321
Продукт получает входные данные от вышестоящего компонента, задающие атрибуты для инициализации или обновления в объекте, однако
Связанные уязвимости
CVE-2026-9508Неправильные настройки разрешений на критическом ресурсе в Suprema BioStar 2 (версии 2.9.3-2.9.11), которые позволяют создавать резервные файлы, когда администратор настраивал свой путь в NGINX webroot. Эта уязвимость позволяет злоумышленнику с доступом к сети напрямую загружать резервные файлы ZIP через 'http(s)://[server]/download/...', не требуя аутентификации. Это раскрывает высокочувствительную информацию, которая может привести к олицетворению сервера, несанкционированному доступу к базам данных и боковым перемещению.
CVE-2026-25881SandboxJS - это библиотека песочницы JavaScript. До 0.8.31 уязвимость выхода из песочницы позволяет песочнику кода мутировать встроенные прототипы хоста путем отмывания флага защиты «Глобально» через буквальных посредников массива. Когда глобальный справочник прототипа (например, Map.prototype, Set.prototype) помещается в массив и извлекается, грязный испорченный ритор issor, что позволяет прямое мутация прототипа изнутри песочницы. Это приводит к постоянному загрязнению прототипа со стороны хозяина и может включать RCE в приложениях, которые используют загрязненные свойства в чувствительных раковинах (например, гаджет: execSync (obj.cmd)). Эта уязвимость фиксируется в пункте 0.8.31.
CVE-2026-25150Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 в промежуточной посуде @builder.io/qwik-city существует уязвимость прототипа в формеToObj(). Функциональные процессы формируют имена полей с обозначением точки (например, user.name) для создания вложенных объектов, но не могут санировать имена опасных свойств, такие как __proto__, конструктор и прототип. Это позволяет неаутентифицированным злоумышленникам загрязнять Object.prototype, отправляя созданные HTTP POST-запросы, что может привести к эскалации привилегий, обходу аутентификации или отказу в обслуживании. Этот вопрос был исправлен в версии 1.19.0.
CVE-2025-69426Версии прошивки Ruckus vRIoT IoT Controller до 3.0.0.0 (GA) содержат жестко закодированные учетные данные для учетной записи пользователя операционной системы в рамках сценария инициализации. Услуга SSH доступна для сети без ограничений на основе IP. Хотя конфигурация отключила SCP и псевдо-TTY, злоумышленник может аутентифицироваться, используя жесткие учетные данные, и установить локальную переадресацию портов SSH для доступа к розетке Docker. Установив файловую систему хоста через Docker, злоумышленник может вырваться из контейнера и выполнить произвольные команды ОС в качестве корня на базовый контроллер vRIoT, что приведет к полному компенсационному системному управлению.
CVE-2025-14988В ibaPDA была выявлена проблема безопасности, которая может разрешить несанкционированные действия в файловой системе при определенных условиях. Это может повлиять на конфиденциальность, целостность или доступность системы.
CVE-2025-12004Неправильное назначение прав доступа к критическому ресурсу в расширении Lockdown MediaWiki фонда Викимедиа, позволяющее злоупотребление привилегиями. Уязвимость заключается в том, что модуль Action API compare (ApiComparePages) не вызывает authorizeRead('read', $page) и поэтому не проверяет обычные права чтения. В результате любой пользователь с правом «read» может получить содержимое защищённых страниц через запрос api.php?action=compare… [1]. Проблема обнаружена в расширении Lockdown, но фактической причиной является отсутствие проверки в ядре MediaWiki. Исправление реализовано в ядре MediaWiki (Action API) и включает вызов authorizeRead, а также аналогичная проверка выполнена в REST‑endpoint CompareHandler [2]. Патч был применён к веткам REL1_42, REL1_43, REL1_44 и master (см. Gerrit).\nИсточники:\n- [1] https://phabricator.wikimedia.org/T397521\n- [2] https://gerrit.wikimedia.org/r/q/Id275382743957004fa7fc56318fc104d8e2d267b
CVE-2024-38999Обнаружено, что jrburke requirejs v2.3.6 содержит prototype pollution через функцию s.contexts._.configure. Эта уязвимость позволяет злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (DoS) путем внедрения произвольных свойств.
CVE-2023-26121Все версии пакета safe-eval подвержены прототипной атаке через функцию safeEval, из-за неправильной санации содержимого ее параметров.
CVE-2021-38503Правила песочницы iframe были применены неправильно к таблицам стилей XSLT, что позволило iframe обходить ограничения, такие как выполнение сценариев или навигация по фрейму верхнего уровня. Эта уязвимость затрагивает Firefox < 94, Thunderbird < 91.3 и Firefox ESR < 91.3.
CVE-2021-23594Все версии пакета realms-shim уязвимы для обхода песочницы через вектор атаки загрязнения прототипов.
CVE-2021-23449Это затрагивает пакет vm2 до версии 3.9.4 через вектор атаки Prototype Pollution, который может привести к выполнению произвольного кода на хост-машине.
CVE-2020-12079Beaker до 0.8.9 допускает выход из песочницы, обеспечивая доступ к системе и выполнение кода. Это происходит потому, что изоляция контекста Electron не используется, и поэтому злоумышленник может провести атаку с загрязнением прототипа против внутреннего API обмена сообщениями Electron.
CVE-2014-125121Устройства Array Networks vAPV (версия 8.3.2.17) и vxAG (версия 9.2.0.34) уязвимы для повышения привилегий из-за наличия жёстко заданных учётных данных SSH. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить доступ к системе с повышенными привилегиями [1].
Источники:
- [1] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/ssh/array_vxag_vapv_privkey_privesc.rb
- [2] https://packetstorm.news/files/id/125761
- [3] https://www.exploit-db.com/exploits/32440
- [4] https://www.vulncheck.com/advisories/array-networks-vapv-vxag-default-credential-privilege-escalation
CVE-2026-32621Apollo Federation - это архитектура для декларативного сочинения API в единый граф. До 2.9.6, 2.10.5, 2.11.6, 2.12.3 и 2.13.2 в исполнении плана запросов в шлюзе, которая может допускать загрязнение Object.prototype в определенных сценариях. Вредоносный клиент может загрязнять Object.prototype в шлюзе непосредственно путем создания операций с полевыми псевдонимами и/или именами переменных, которые нацелены на наследственные свойства прототипа. В качестве альтернативы, если подграф должен был быть скомпрометирован злоумышленником, он может загрязнить Object.prototype в шлюзе, создавая полезные нагрузки ответа JSON, которые нацелены на наследуемые прототипы свойства. Эта уязвимость зафиксирована в разделах 2.9.6, 2.10.5, 2.11.6, 2.12.3 и 2.13.2.
CVE-2025-49131FastGPT - это открытый проект, предоставляющий платформу для создания и развертывания AI-ориентированных рабочих процессов и conversational agents. Контейнер Sandbox (fastgpt-sandbox) до версии 4.9.11 имел недостаточную изоляцию и неадекватные ограничения на выполнение кода, что позволяло злоумышленникам обойти границы предполагаемой песочницы. Атакующие могли читать и перезаписывать произвольные файлы и обходить ограничения импорта модулей Python. Проблема исправлена в версии 4.9.11 путем ограничения разрешенных системных вызовов до более безопасного подмножества и добавления более информативных сообщений об ошибках [1].
Примеры эксплуатации включают чтение произвольных файлов и перезапись файлов, что может привести к сбою системы [1].
Источники:
- [1] https://github.com/labring/FastGPT/security/advisories/GHSA-f3pf-r3g7-g895
- [2] https://github.com/labring/FastGPT/pull/4958
- [3] https://github.com/labring/FastGPT/commit/bb810a43a1c70683fab7f5fe993771e930a94426
- [4] https://github.com/labring/FastGPT/pkgs/container/fastgpt-sandbox
- [5] https://github.com/labring/FastGPT/releases/tag/v4.9.11