CWE-1220 · Недостаточная гранулярность управления доступом

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Документация

← Вернуться к списку

CWE-1220БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Недостаточная гранулярность управления доступом

Продукт реализует управление доступом посредством политики или иной функции с целью запрета или ограничения доступа (чтения и/или записи) к ресурсам системы со стороны недоверенных агентов. Однако реализованное управление доступом лишено необходимой гранулярности, что делает политику контроля слишком широкой: она допускает доступ со стороны неавторизованных агентов к чувствительным с точки зрения безопасности ресурсам.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Доступ к функциональности, не ограниченной ACL должным образом

Эксплуатация некорректно настроенных уровней контроля доступа

Связанные уязвимости

CVE-2025-31201Эта проблема была устранена путем удаления уязвимого кода. Эта проблема исправлена в tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1 и iPadOS 18.4.1, macOS Sequoia 15.4.1. Злоумышленник с произвольным доступом к чтению и записи может обойти аутентификацию указателя. Apple известно о сообщении, что эта проблема могла быть использована в крайне сложной атаке против конкретных целевых лиц на iOS [1]. Источники: - [1] https://support.apple.com/en-us/122402 - [2] https://support.apple.com/en-us/122282 - [3] https://support.apple.com/en-us/122401 - [4] https://support.apple.com/en-us/122400

CVE-2026-6356Уязвимость в веб-приложении позволяет стандартным пользователям увеличивать свои привилегии до привилегий суперадминистратора посредством манипулирования параметрами, позволяя им получать доступ и изменять конфиденциальную информацию.

CVE-2026-6388Недостаток был обнаружен в ArgoCD Image Updater. Эта уязвимость позволяет злоумышленнику с разрешениями создавать или изменять ресурс ImageUpd. Используя недостаточную проверку, злоумышленник может инициировать несанкционированные обновления изображений в приложениях, управляемых другими арендаторами. Это приводит к эскалации привилегий кросс-namespace, влияя на целостность приложения посредством несанкционированных обновлений приложений.

CVE-2025-7493В FreeIPA обнаружена уязвимость повышения привилегий (privilege escalation) из состояния хоста до уровня доменного администратора (CVE‑2025‑7493). При проверке уникальности canonical name krbCanonicalName пропущена проверка имени root@REALM, что позволяет злоумышленнику, имеющему учётные данные администратора (admin@REALM), использовать имя root@REALM в качестве имени realm‑администратора и выполнить административные действия в пределах REALM. Вредоносный код может привести к получению доступа к конфиденциальным данным и их утечке. Уязвимость фиксируется в пакетах ipa‑4.12.2‑14.el9_6.5 и ipa‑4.12.2‑15.el9_6.5 для Red Hat Enterprise Linux 9, 10 и их вариантов (x86_64, ppc64le, aarch64, s390x) и в соответствующих версиях Update Services for SAP Solutions. Рекомендуется установить обновления RHSA‑2025:17084‑17088, которые обновляют пакет ipa до версии 4.12.2‑15.el9_6.5, устраняя уязвимость. Источники: - [1] https://access.redhat.com/errata/RHSA-2025:17084 - [2] https://access.redhat.com/errata/RHSA-2025:17085 - [3] https://access.redhat.com/errata/RHSA-2025:17086 - [4] https://access.redhat.com/errata/RHSA-2025:17087 - [5] https://access.redhat.com/errata/RHSA-2025:17088

CVE-2025-4404Эскалация привилегий от уязвимости хоста до домена была обнаружена в проекте FreeIPA. Пакет FreeIPA не может подтвердить уникальность `krbCanonicalName` для учетной записи администратора по умолчанию, что позволяет пользователям создавать сервисы с тем же каноническим именем, что и администратор REALM. Когда происходит успешная атака, пользователь может получить билет Kerberos на имя этого сервиса, содержащего учетную запись admin@REALM. Этот недостаток позволяет злоумышленнику выполнять административные задачи по REALM, что приводит к доступу к конфиденциальным данным и экстракции конфиденциальных данных.

CVE-2026-40365Выполнение произвольного кода в Microsoft SharePoint Server

CVE-2026-35436Повышение привилегий в Microsoft 365 Apps for Enterprise

CVE-2025-29987Dell PowerProtect Data Domain с операционной системой Data Domain (DD OS) версий до 8.3.0.15 содержит уязвимость недостаточной четкости контроля доступа. Авторизованный пользователь с доверенного удаленного клиента может использовать эту уязвимость для выполнения произвольных команд с правами root.

CVE-2022-2475Haas Controller версии 100.20.000.1110 имеет недостаточную детализацию контроля доступа при использовании сервиса "Ethernet Q Commands". Любой пользователь может записывать макросы в регистры за пределами разрешенного диапазона. Это может позволить пользователю получить доступ к привилегированным ресурсам или ресурсам вне контекста.

CVE-2024-21962Неправильная валидация входных данных в драйвере AMD RAID может позволить злоумышленнику указать на произвольное местоположение памяти, что может привести к эскалации привилегий и произвольной казни кода.

CVE-2025-3648В платформе Now Platform обнаружена уязвимость, которая может привести к раскрытию информации без авторизации. При определенных конфигурациях списка контроля доступа (ACL) эта уязвимость может позволить неаутентифицированным и аутентифицированным пользователям использовать запросы диапазона для вывода информации об экземпляре, недоступной им [1]. Источники: - [1] https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB2139567 - [2] https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB2046494 - [3] https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB2256712

CVE-2024-5389В lunary-ai/lunary версии 1.2.13 недостаточная гранулярность уязвимости контроля доступа позволяет пользователям создавать, обновлять, получать и удалять варианты подсказок для наборов данных, не принадлежащих их организации. Эта проблема возникает из-за того, что приложение неправильно проверяет принадлежность подсказок набора данных и их вариантов организации или проекту запрашивающего пользователя. В результате могут произойти несанкционированные изменения подсказок набора данных, что приведет к изменению или удалению подсказок набора данных без надлежащей авторизации. Эта уязвимость влияет на целостность и согласованность информации о наборе данных, что потенциально может повлиять на результаты экспериментов.

CVE-2023-33127Уязвимость повышения привилегий .NET и Visual Studio.

CVE-2024-43604Уязвимость повышения привилегий в Outlook для Android.

CVE-2026-33825Недостаточность детальности контроля доступа в Microsoft Defender позволяет авторизованному злоумышленнику повысить привилегии на местном уровне.