CAPEC-1СтандартЧерновик
Доступ к функциональности, не ограниченной ACL должным образом
В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-276
В процессе установки разрешения для устанавливаемых файлов задаются таким образом, что любой пользователь может их изменять.
CWE-285
Продукт не выполняет или некорректно выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить
CWE-434
Продукт допускает загрузку или передачу файлов опасных типов, которые автоматически обрабатываются в его среде.
CWE-693
Программный продукт не использует или некорректно использует механизм защиты, обеспечивающий достаточную защиту от направленных
CWE-732
Программный продукт задаёт разрешения для критически важного с точки зрения безопасности ресурса таким образом, что этот ресурс м
CWE-1191
Микросхема не реализует или некорректно реализует управление доступом для проверки того, авторизованы ли пользователи на доступ
CWE-1193
Продукт активирует компоненты, содержащие ненадёжную прошивку, до того, как включены средства контроля доступа к памяти и шине.
CWE-1220
Продукт реализует управление доступом посредством политики или иной функции с целью запрета или ограничения доступа (чтения и/или
CWE-1297
Продукт не обеспечивает надлежащей защиты конфиденциальной информации на устройстве от доступа к ней со стороны вендоров аутсорс
CWE-1311
Мост некорректно транслирует атрибуты безопасности — из доверенных в недоверенные или из недоверенных в доверенные — при преобр
CWE-1314
Устройство не обеспечивает защиту от записи для параметрических значений данных датчиков, масштабирующих показания датчика, что
CWE-1315
Контроллер шины устанавливает биты в конечной точке фабрики, разрешая устройствам-ответчикам управлять транзакциями на фабрике.
CWE-1318
Межсоединительные архитектуры или шины на кристалле не поддерживают или не настроены на поддержку разделения привилегий или иных
CWE-1320
Недоверенные агенты могут отключать оповещения об условиях превышения сигналами установленных порогов или механизм реагировани
CWE-1321
Продукт получает входные данные от вышестоящего компонента, задающие атрибуты для инициализации или обновления в объекте, однако
CWE-1327
Продукт назначает адрес 0.
Связанные уязвимости
CVE-2026-9508Неправильные настройки разрешений на критическом ресурсе в Suprema BioStar 2 (версии 2.9.3-2.9.11), которые позволяют создавать резервные файлы, когда администратор настраивал свой путь в NGINX webroot. Эта уязвимость позволяет злоумышленнику с доступом к сети напрямую загружать резервные файлы ZIP через 'http(s)://[server]/download/...', не требуя аутентификации. Это раскрывает высокочувствительную информацию, которая может привести к олицетворению сервера, несанкционированному доступу к базам данных и боковым перемещению.
CVE-2026-47140vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До версии 3.11.4 NodeVM блокирует несколько опасных встроений Node.js, таких как модуль, worker_threads, кластер, vm, repl и Inspector. Однако отказ в листе пропускает процесс и инспектор/обещания. Оба могут быть использованы из песочкового кода для достижения примитивов выполнения на стороне хоста. Это позволяет песочковому коду обходить предполагаемые встроенные ограничения и выполнять код в процессе хоста. Эта проблема была исправлена в версии 3.11.4.
CVE-2026-45444Неограниченная загрузка файла с уязвимостью опасного типа в подарочной картах WP Swings для WooCommerce Pro позволяет использовать вредоносные файлы.
Эта проблема затрагивает подарочная карта для WooCommerce Pro: от n/a до 4.2.6.
CVE-2026-40772Неаутентированная произвольная загрузка файла в GeekyBot <= 1.2.2 версии.
CVE-2026-34938PraisonAI - это многоагентная система команд. До версии 1.5.90, выполнить_code() в прайзонай-агентах запускает управляемый злоумышленником Python внутри трехслойной песочницы, которую можно полностью обойти, пройдя подкласс str с переопределенным методом стартов с () на обертку _safe_getattr, достигнув произвольного выполнения команды ОС на хосте. Этот вопрос был исправлен в версии 1.5.90.
CVE-2026-34208SandboxJS - это библиотека песочницы JavaScript. До 0.8.36 SandboxJS блокирует прямое назначение на глобальные объекты (например, Math.random = ...), но эта защита может быть обойдена через открытый коллируемый путь конструктора: this.constructor.call (target, aterObject). Поскольку этот.конструктор переходит на внутреннюю функцию SandboxGlobal и разрешен Function.prototype.call, код злоумышленника может записывать произвольные свойства в глобальные объекты хоста и сохранять эти мутации в экземплярах песочницы в одном и том же процессе. Эта уязвимость фиксируется в 0.8.36.
CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR
CVE-2026-25893FUXA - это программное обеспечение для веб-визуализации процессов (SCADA/HMI/Dashboard). До 1.2.10 уязвимость обхода аутентификации в FUXA позволяет удаленному злоумышленнику получить административный доступ через API обновления сердца и выполнить произвольный код на сервере. Эта проблема была исправлена в версии FUXA 1.2.10.
CVE-2026-25885PolarLearn - это бесплатная и открытая программа обучения. В 0-PREELEASE-16 и ранее, групповой чат WebSocket по адресу wss://polarlearn.nl/api/v1/ws можно использовать без входа в систему. Неаутентифицированный клиент может подписаться на любой групповой чат, предоставив группу UUID, а также может отправлять сообщения любой группе. Сервер принимает сообщение и хранит его в чат-Контент группы, так что это не просто визуальный спам.
CVE-2026-25881SandboxJS - это библиотека песочницы JavaScript. До 0.8.31 уязвимость выхода из песочницы позволяет песочнику кода мутировать встроенные прототипы хоста путем отмывания флага защиты «Глобально» через буквальных посредников массива. Когда глобальный справочник прототипа (например, Map.prototype, Set.prototype) помещается в массив и извлекается, грязный испорченный ритор issor, что позволяет прямое мутация прототипа изнутри песочницы. Это приводит к постоянному загрязнению прототипа со стороны хозяина и может включать RCE в приложениях, которые используют загрязненные свойства в чувствительных раковинах (например, гаджет: execSync (obj.cmd)). Эта уязвимость фиксируется в пункте 0.8.31.
CVE-2026-25150Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 в промежуточной посуде @builder.io/qwik-city существует уязвимость прототипа в формеToObj(). Функциональные процессы формируют имена полей с обозначением точки (например, user.name) для создания вложенных объектов, но не могут санировать имена опасных свойств, такие как __proto__, конструктор и прототип. Это позволяет неаутентифицированным злоумышленникам загрязнять Object.prototype, отправляя созданные HTTP POST-запросы, что может привести к эскалации привилегий, обходу аутентификации или отказу в обслуживании. Этот вопрос был исправлен в версии 1.19.0.
CVE-2026-24815Неограниченная загрузка файла с опасным типом, дезериализация уязвимости ненадежных данных в модули datavare (это-plugin/src/main/java/com/qlangtech/tis/extension/impl модули). Эта уязвимость связана с программными файлами XmlFile.Java.
Эта проблема затрагивает: до v4.3.0.
CVE-2026-24729Неограниченная загрузка файла с уязвимостью опасного типа в функции загрузки файлов в версиях Interinfo DreamMaker до 2025/10/22 позволяет удаленным злоумышленникам выполнять произвольные системные команды через файл вредоносного класса.
CVE-2026-21628Неправильно защищенная функция управления файлами позволяет загружать опасные типы данных для неаутентифицированных пользователей, что приводит к удаленному исполнению кода.
CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird