CWE-1023 · Неполное сравнение с отсутствующими факторами

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1023КлассНеполный

Абстракция: Класс

Статус: Неполный

Источник ↗

Неполное сравнение с отсутствующими факторами

Продукт выполняет сравнение между сущностями, которое должно учитывать несколько факторов или характеристик каждой сущности, однако сравнение не включает один или несколько таких факторов.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2026-4599Версий пакета jsssign от 7.0.0 и до 11.1.1 уязвимы для Неполного сравнения с недостающими факторами через getRandomBigIntegerZeroMax и получения функцийRandomBigIntegerMinToMax в src/crypto-1.1.js; злоумышленник может восстановить закрытый ключ, используя неправильные сравнение.

CVE-2021-23146Уязвимость Incomplete Comparison with Missing Factors в Gallagher Controller позволяет злоумышленнику обойти проверку PIV. Эта проблема затрагивает: Gallagher Command Centre 8.40 версий до 8.40.1888 (MR3); 8.30 версий до 8.30.1359 (MR3); 8.20 версий до 8.20.1259 (MR5); 8.10 версий до 8.10.1284 (MR7); версию 8.00 и предыдущие версии.

CVE-2025-46722vLLM - это движок вывода и обслуживания для больших языковых моделей (LLM). В версиях, начиная с 0.7.0 до версии 0.9.0, класс MultiModalHasher имеет проблему безопасности и целостности данных в методе хэширования изображений. Сейчас он сериализует объекты PIL.Image.Image, используя только obj.tobytes(), что возвращает только необработанные пиксельные данные, без метаданных, таких как форма изображения (ширина, высота, режим). В результате два изображения разного размера (например, 30x100 и 100x30) с одинаковой последовательностью байтов пикселей могут генерировать одинаковое значение хэша. Это может привести к коллизиям хэшей, неправильным попаданиям в кэш и даже утечке данных или рискам безопасности. Эта проблема была исправлена в версии 0.9.0 [1]. Источники: - [1] https://github.com/vllm-project/vllm/security/advisories/GHSA-c65p-x677-fgj6 - [2] https://github.com/vllm-project/vllm/pull/17378 - [3] https://github.com/vllm-project/vllm/commit/99404f53c72965b41558aceb1bc2380875f5d848

CVE-2026-7473На затронутых платформах под управлением Arista EOS, где присутствует конфигурация декапсуляции туннеля, такая как VXLAN (Virtual Extensible LAN), декап-группы или интерфейс туннеля GRE (Generic Routing Encapsulation), переключатель неправильно обезглавит и перенаправит другой неожиданный туннельный пакет с IP-адресом назначения, соответствующим его настроенному IP-адресу. Это происходит потому, что коммутатор не проверяет тип протокола туннеля, что потенциально приводит к неожиданной обработке неконфигурированного движения туннеля. Сообщалось, что эта проблема эксплуатируется в дикой природе.

CVE-2025-62000BullWall Ransomware Containment не всегда может обнаружить зашифрованный файл. Эта проблема затрагивает конкретный метод проверки файлов, который оценивает содержимое файлов на основе байтов заголовков. Аутентифицированный злоумышленник может шифровать файлы, сохраняя первые четыре байта и предотвращая запуск этого конкретного метода. Затронутый продукт реализует дополнительные механизмы обнаружения на основе целостности, способные идентифицировать коррупцию или шифрование файлов для некоторых общих расширений файлов, независимо от байтов заголовков. В результате эта уязвимость представляет собой не полное обход обнаружения вымогателей, а ограничение одного метода обнаружения при независимой оценке. Затрагиваются версии 4.6.0.0, 4.6.0.6, 4.6.0.7 и 4.6.1.4. Могут быть затронуты и другие версии. BullWall планирует улучшить документацию метода обнаружения.

CVE-2026-53839OpenClaw до 2026.5.7 содержит уязвимость проверки имени хоста в проверках конечной точки повтора, которая позволяет сопоставлять префиксы имени хоста вместо точных имен хоста. Злоумышленники могут использовать это, создав префикс имени хоста, напоминающий доверенный хост, для отправки материала аутентификации на ненадежные конечные точки.

CVE-2024-5528Обнаружена проблема в GitLab CE/EE, затрагивающая все версии до 16.11.6, начиная с 17.0 до 17.0.4 и начиная с 17.1 до 17.1.2, которая позволяет захватить поддомен в GitLab Pages.

CVE-2025-55333Неполное сравнение с недостающими факторами в Windows BitLocker позволяет несанкционированному злоумышленнику обойти функцию безопасности с физической атакой.

CVE-2026-48587Проблема была обнаружена в Django 5.2 до 5.2.15 и 6.0 до 6.0.6. `django.utils.cache.has_vary_header()` в Django не лишает ведущего или затвершившего пробела от значений заголовка `Vary` перед сравнением, что позволяет удаленным злоумышленникам читать кэшированные ответы через URL-адреса, ответы которых содержат значения заголовков с пробелом. Ранее неподдерживаемые серии Django (такие как 5.0.x, 4.1.x и 3.2.x) не оценивались и также могут быть затронуты. Джанго хотел бы поблагодарить Навида Резазаде за сообщение об этом.