CAPEC-36 · Использование неопубликованных интерфейсов или функциональности

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-36СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Использование неопубликованных интерфейсов или функциональности

Злоумышленник ищет и вызывает интерфейсы или функциональность, которые разработчики целевой системы не предназначали для публичного доступа. Если интерфейсы не выполняют аутентификацию запросов, злоумышленник может вызывать функциональность, к которой он не авторизован.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт не выполняет никакой аутентификации для функциональности, требующей подтверждённой идентичности пользователя или потре�

Программный продукт не использует или некорректно использует механизм защиты, обеспечивающий достаточную защиту от направленных

Программный продукт использует низкоуровневую функциональность, прямо запрещённую фреймворком или спецификацией, в соответстви�

Устройство включает «chicken bits» или недокументированные функции, которые могут создавать точки входа для неавторизованных субъекто

Связанные уязвимости

CVE-2026-9152В Altium 365 SearchService существует недостающая уязвимость аутентификации. Наследственная конечная точка SOAP разоблачает операции поискового индекса, не требуя аутентификации, токенов сеансов или любой формы проверки личности. Неаутентифицированный сетевой злоумышленник, который может ссылаться на идентификатор рабочего пространства, может взаимодействовать с поисковым индексом этого рабочего пространства, пересекая границы арендатора. Успешная эксплуатация позволяет считывать индексированное содержимое рабочего пространства (например, данные о компонентах, названиях проектов и папок и метаданные пользователя) и вводить, изменять или удалять записи индекса поиска. Эти операции влияют только на индекс поиска, а не на базовые данные хранилища, но они могут раскрывать конфиденциальную информацию о рабочем пространстве и скомпрометировать целостность и доступность результатов поиска. Пострадают развертывание облачных вычислений Altium 365; локальный Altium Enterprise Server не затронут.

CVE-2026-47140vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До версии 3.11.4 NodeVM блокирует несколько опасных встроений Node.js, таких как модуль, worker_threads, кластер, vm, repl и Inspector. Однако отказ в листе пропускает процесс и инспектор/обещания. Оба могут быть использованы из песочкового кода для достижения примитивов выполнения на стороне хоста. Это позволяет песочковому коду обходить предполагаемые встроенные ограничения и выполнять код в процессе хоста. Эта проблема была исправлена в версии 3.11.4.

CVE-2026-44329Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 SMF free5GC монтирует группу маршрутов управления UPI без промежуточной программы для авторизации OAuth2/bearer-token. Сетевой злоумышленник, который может достичь SMF на SBI, может поразить конечные точки UPI без заголовка авторизации вообще, и запросы попадают в бизнес-обработчиков SMF. В бегущих лабораториях Docker это было непосредственно продемонстрировано для чтения (GET /upi/v1/upNodesLinks), записи (POST /upi/v1/upNodesLinks с управляемым злоумышленником UP-ундом и полезной нагрузкой ссылки) и удаления (DELETE /upi/v1/upNodesLinks/{nodeID}) операций. Эта уязвимость зафиксирована в 4.2.2.

CVE-2026-44327Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF free5GC устанавливает группу маршрутов unef-oam без авторизации входящий OAuth2/предъявителя. Сетевой злоумышленник, который может добраться до NEF на SBI, может поразить маршрут OAM без заголовка авторизации вообще, и обработчик возвращает 200 ОК. Текущий обработчик OAM - это заглушка, которая возвращается нулевым, но структурный дефект связан с группой маршрутов: вся группа маршрутов OAM не имеет входящей промежуточной программы, поэтому каждая будущая операция OAM, добавленная в эту группу, по умолчанию наследует отсутствующую границу. Эта уязвимость зафиксирована в 4.2.2.

CVE-2026-3611Контроллер управления зданием Honeywell IQ4x обнажает свой полный веб-сайт HMI без аутентификации в конфигурации по умолчанию. Без настройки пользовательского модуля безопасность отключается по дизайну, и система работает в контексте System Guest (уровень 100), предоставляя привилегии чтения/записи любой стороне, способной достичь интерфейса HTTP. Контроль аутентификации обеспечивается только после создания веб-пользователя через U.htm, который динамически включает пользовательский модуль. Поскольку эта функция доступна до аутентификации, удаленный пользователь может создать новую учетную запись с административными разрешениями чтения/записи, позволяющими использовать модуль пользователя и налагать аутентификацию под учетными данные, контролируемые злоумышленником. Это действие может эффективно блокировать законных операторов из локальной и веб-конфигурации и администрирования.

CVE-2026-34938PraisonAI - это многоагентная система команд. До версии 1.5.90, выполнить_code() в прайзонай-агентах запускает управляемый злоумышленником Python внутри трехслойной песочницы, которую можно полностью обойти, пройдя подкласс str с переопределенным методом стартов с () на обертку _safe_getattr, достигнув произвольного выполнения команды ОС на хосте. Этот вопрос был исправлен в версии 1.5.90.

CVE-2026-34208SandboxJS - это библиотека песочницы JavaScript. До 0.8.36 SandboxJS блокирует прямое назначение на глобальные объекты (например, Math.random = ...), но эта защита может быть обойдена через открытый коллируемый путь конструктора: this.constructor.call (target, aterObject). Поскольку этот.конструктор переходит на внутреннюю функцию SandboxGlobal и разрешен Function.prototype.call, код злоумышленника может записывать произвольные свойства в глобальные объекты хоста и сохранять эти мутации в экземплярах песочницы в одном и том же процессе. Эта уязвимость фиксируется в 0.8.36.

CVE-2026-34162FastGPT - это платформа для создания AI Agent. До версии 4.14.9.5 инструменты FastGPT HTTP, тестирующие конечную точку (/api/core/app/httpTools/runTool) экспонируются без какой-либо аутентификации. Эта конечную точку действует как полный HTTP-прокси — она принимает поставляемую пользователем базуUrl, toolPath, метод HTTP, пользовательские заголовки и тело, а затем делает запрос HTTP на стороне сервера и возвращает полный ответ вызываю абоненту. Эта проблема была исправлена в версии 4.14.9.5.

CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR

CVE-2026-26333Версии Calero VeraSMART до 2022 года R1 выставляют неаутентифицированный HTTP-сервис .NET Remoting на TCP-порт 8001. Сервис публикует ObjectURI по умолчанию (включая EndeavorServer.rem и RemoteFileReceiver.rem) и разрешает использование SOAP и двоичных форматировщиков с набором TypeFilterLevel в Full. Неаутентифицированный удаленный злоумышленник может вызывать открытые удаляющие конечные точки для выполнения произвольных операций по чтению и записи файлов через класс WebClient. Это позволяет извлекать конфиденциальные файлы, такие как WebRoot\\web.config, которые могут раскрывать ключи проверки и расшифровки IIS machineKey. Злоумышленник может использовать эти ключи для создания вредоносной полезной нагрузки ASP.NET ViewState и достижения удаленного выполнения кода в контексте приложения IIS. Кроме того, предоставление пути UNC может вызвать исходящую аутентификацию SMB из сервисной учетной записи, потенциально подвергая воздействию хэшей NTLMv2 для реле или растрескивания в автономном режиме.

CVE-2026-2577Компонент моста WhatsApp в Nanobot связывает сервер WebSocket со всеми сетевыми интерфейсами (0.0.0.0) на порту 3001 по умолчанию и не требует аутентификации для входящих соединений. Неаутентифицированный удаленный злоумышленник с доступом к сети к мосту может подключиться к серверу WebSocket, чтобы захватить сеанс WhatsApp. Это позволяет злоумышленнику отправлять сообщения от имени пользователя, перехватывать все входящие сообщения и медиа в режиме реального времени и захватывать QR-коды аутентификации.

CVE-2026-20223Получение конфиденциальной информации в Cisco Secure Workload

CVE-2026-1633Последовательный адаптер Synectix LAN 232 TRIO 3-Port для Ethernet представляет свой интерфейс управления веб-службы, не требуя аутентификации, позволяя неаутентифицированным пользователям изменять критические настройки устройства или заводской сброс устройства.

CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird

CVE-2025-69425Версии прошивки Ruckus vRIoT IoT Controller до 3.0.0.0 (GA) выставляют службу выполнения команд на порту TCP 2004, работающую с корневыми привилегиями. Аутентификация этого сервиса основана на секрете одноразового пароля на основе времени (TOTP) и встроенном статическом токене. Злоумышленник, который извлекает эти учетные данные из устройства или скомпрометированного устройства, может генерировать действительные токены аутентификации и выполнять произвольные команды ОС с корневыми привилегиями, что приводит к полному компрометации системы.