CWE-1244БазаСтабильный
Внутренний ресурс доступен на небезопасном уровне или в небезопасном состоянии отладки
Продукт использует физические интерфейсы отладки или тестирования с поддержкой нескольких уровней доступа, однако назначает неправильный уровень доступа к отладке для внутреннего ресурса, предоставляя непреднамеренный доступ к нему со стороны недоверенных агентов отладки.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-42878SAP Web Dispatcher и ICM могут выставлять внутренние интерфейсы тестирования, которые не предназначены для производства. При включении неаутентифицированные злоумышленники могут использовать их для доступа к диагностике, отправки разработанных запросов или нарушения услуг. Эта уязвимость оказывает большое влияние на конфиденциальность, доступность и низкое воздействие на целостность и применение.
CVE-2024-0114NVIDIA Hopper HGX для 8-GPU содержит уязвимость в Управляющем контроллере HGX (HMC), которая может позволить злоумышленнику с административным доступом на BMC получить доступ к HMC как администратор. Успешная эксплуатация этой уязвимости может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и подделке данных.
CVE-2026-29642Местный злоумышленник, который может выполнять привилегированные операции КСО (или может побудить к этому прошивку), выполняет тщательно продуманные чтения/записи menvcfg (например, crrs в M-моде). В затронутых версиях XiangShan (commit aecf601e803bfd2371667a3fb60bfcd83c333027, 2024-11-19) эти menvcfg доступы могут неожиданно установить бита WPRI (зарезервированные) в поле зрения (xstatus) к 1. RISC-V определяет поля WPRI как «писи сохраняют значения, считывают значения, игнорируют значения», то есть они не должны быть модифицированы программным обеспечением, манипулирующим другими полями, и сам menvcfg содержит несколько полей WPRI.
CVE-2025-23252Инструмент NVIDIA NVDebug содержит уязвимость, которая может позволить актеру получить доступ к ограниченным компонентам. Успешный эксплойт этой уязвимости может привести к раскрытию информации.
CVE-2020-5372Dell EMC PowerStore версий до 1.0.1.0.5.002 содержит уязвимость, которая предоставляет тестовые порты интерфейса внешней сети. Удаленный не прошедший проверку подлинности злоумышленник может потенциально вызвать отказ в обслуживании через тестовые порты интерфейса, которые не используются во время среды выполнения.
CVE-2025-67862Внутренний актив, подверженный небезопасному уровню доступа к отладке или уязвимости государства [CWE-1244] в Fortinet FortiOS 7.6.0-7.6.2, FortiOS 7.4.0-7.4.7, FortiOS 7.2.0-7.2.9, FortiOS 7.2.0-7.0.0 до 7.0.16, FortiOS 6.4 всех версий, FortiProxy 7.6.0-7.6.3, FortiProxВсе версии могут позволить аутентифицированному администратору выполнять скрипты lua с помощью созданных команд CLI.
CVE-2025-23337В NVIDIA HGX & DGX GB200, GB300, B300 существует уязвимость в HGX Management Controller (HMC), которая позволяет злоумышленнику с административным доступом на BMC получить доступ к HMC с правами администратора. Успешная эксплуатация может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и изменению данных [1]. Рекомендуется обновить HGX: HMCDGX HMC и BMC до версий GB200 1.3, GB300 0.8 и B300 0.8.
Источники:
- [1] https://nvidia.custhelp.com/app/answers/detail/a_id/5692
CVE-2022-32259В SINEMA Remote Connect Server (все версии < V3.1) была обнаружена уязвимость. Системные образы для установки или обновления затронутого приложения содержат сценарии модульных тестов с конфиденциальной информацией. Злоумышленник может получить информацию об архитектуре тестирования, а также вмешаться в конфигурацию тестирования.
CVE-2025-20238Уязвимость в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD) может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в базовой операционной системе с привилегиями root-уровня. Чтобы использовать эту уязвимость, злоумышленник должен иметь действительные административные полномочия.
Эта уязвимость обусловлена недостаточной валидацией команд, которые поставляются пользователем. Злоумышленник может использовать эту уязвимость, аутентифицируя устройство и отправляя созданный ввод для определенных команд. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе в качестве корня.
CVE-2025-23302NVIDIA HGX и DGX содержат уязвимость, при которой неправильная конфигурация LS10 может позволить злоумышленнику установить небезопасный уровень отладочного доступа. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании. [1][2][3]
Источники:
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-23302
- [2] https://www.cve.org/CVERecord?id=CVE-2025-23302
- [3] https://nvidia.custhelp.com/app/answers/detail/a_id/5674
CVE-2025-23301NVIDIA HGX и DGX содержат уязвимость, при которой неправильная настройка VBIOS может позволить злоумышленнику установить небезопасный уровень отладки. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании [1].
Источники:
- [1] https://nvidia.custhelp.com/app/answers/detail/a_id/5674
- [2] https://nvd.nist.gov/vuln/detail/CVE-2025-23301
- [3] https://www.cve.org/CVERecord?id=CVE-2025-23301