CAPEC-490СтандартЧерновик
Усиление
Злоумышленник может реализовать усиление, при котором размер ответа значительно превышает размер запроса, его породившего. Цель данной атаки — создать большой объём трафика, направленного на целевой сервер, при относительно небольших затратах ресурсов. Для выполнения атаки злоумышленник отправляет запрос к стороннему сервису, подменяя исходный адрес адресом целевого сервера. Большой ответ, формируемый сторонним сервисом, направляется на целевой сервер. Отправляя большое количество начальных запросов, злоумышленник может генерировать огромный объём трафика, направленного на цель. Чем больше разница в размере между начальным запросом и конечной полезной нагрузкой, доставляемой на цель, тем выше эффективность данной атаки.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2025-11832Распределение ресурсов без лимитов или уязвимости в технологии Azure Access BLU-IC2, Azure Access Technology BLU-IC4 позволяет наводнение.Эта проблема затрагивает BLU-IC2: до 1,19.5; BLU-IC4: до 1.19.5.
CVE-2026-31283В Totara LMS v19.1.5 и ранее забытый пароль API не реализует ограничение тарифа для целевого адреса электронной почты, который можно использовать для атаки Email Bombing. ПРИМЕЧАНИЕ: Позиция Поставщика заключается в том, что конфигурация pwresettime по умолчанию до 30 минут, конфигурация pwresettime представляет собой жесткий контроль, применяемый с помощью флага PWRESET_STATUS_ALREADYSENT, и никаких дальнейших сообщений электронной почты с перезагрузкой пароля не отправляется, если этот флаг активен для конкретного адреса электронной почты.
CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.
CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.
CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.
CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.
CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.
CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.
CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2025-22273Приложение не ограничивает количество или частоту взаимодействий пользователей, таких как количество входящих запросов. По адресу "/EPMUI/VfManager.asmx/ChangePassword" возможно осуществить атаку грубой силой на текущий используемый пароль.
Эта проблема затрагивает CyberArk Endpoint Privilege Manager в версии SaaS 24.7.1. Статус других версий неизвестен. После нескольких попыток связаться с поставщиком мы не получили никакого ответа.
CVE-2025-65015joserfc - это библиотека Python, которая обеспечивает реализацию нескольких стандартов JSON Object Signing and Encryption (JOSE). В версиях от 1.3.3 до 1.3.5 и с 1.4.0 до 1.4.2 сообщения ExceedSizeError встроены в нерасшифрованные части токенов JWT и могут привести к тому, что журналирование Python зафиксирует сколь угодно большую, поддельную полезную нагрузку JWT. В ситуациях, когда неправильно настроенный или полностью отсутствующий веб-сервер производственного класса находится перед веб-приложением Python, злоумышленник может отправлять сколь угодно большие токены на предъявителя в заголовках HTTP-запроса. Когда это происходит, инструменты регистрации или диагностики Python (например, Sentry) могут в конечном итоге обрабатывать чрезвычайно большие бревенчатые сообщения, содержащие полный заголовок JWT, во время операции joserfc.jwt.decode(). Такое же поведение также появляется при проверке претензий и размеров полезной нагрузки подписи, поскольку библиотека поднимает joserfc.errors.ExceededSizeError() с полной полезной нагрузкой, встроенной в сообщение об исключении. Поскольку на данном этапе полезная нагрузка уже полностью загружена в память, библиотека не может предотвратить или отклонить ее. Эта проблема была исправлена в версиях 1.3.5 и 1.4.2.
CVE-2025-27419WeGIA - это открытый веб-менеджер для учреждений с акцентом на русскоязычных пользователей. В WeGIA существует уязвимость отказа в обслуживании (DoS). Эта уязвимость позволяет любому неаутентифицированному пользователю заставить сервер стать неотзывчивым, проводя агрессивное парсинг. Уязвимость вызвана рекурсивным обходом динамически сгенерированных URL-адресов и недостаточной обработкой больших объемов запросов. Эта уязвимость исправлена в версии 3.2.16.