CWE-242БазаЧерновик
Использование заведомо опасной функции
Продукт вызывает функцию, безопасное выполнение которой не может быть гарантировано.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2017-1002157modulemd 1.3.1 и более ранние версии используют небезопасную функцию для обработки внешних данных, что приводит к удаленному выполнению кода.
CVE-2024-52324Ruijie Reyee OS версии с 2.206.x до, но не включая 2.320.x, использует по своей сути опасную функцию, которая может позволить злоумышленнику отправить вредоносное сообщение MQTT, что приведет к выполнению устройствами произвольных команд ОС.
CVE-2026-6477Использование по своей сути опасной функции PQfn(..., result_is_int=0, ...) в функциях PostgreSQL libpq lo_export(), lo_lseek(), lo_lseek64(), и lo_tell64() позволяет суперпользователю сервера перезаписать буфер клиентского стека с произвольным ответом. Как и Get(), PQfn(..., result_is_int=0, ...) хранит данные произвольной длины, определяемые сервером, в буфер неопределенного размера. Поскольку команда \lo_export в psql и pg_dump call lo_read(), суперпользователь сервера может перезаписать pg_dump или psql стек. Поражаются версии перед PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23.
CVE-2025-49215Уязвимость после введения SQL в Trend Micro Endpoint Encryption PolicyServer может позволить злоумышленнику нарастить привилегии на затронутых установках.
Обратите внимание: злоумышленник должен сначала получить возможность выполнять низкопривилегированный код в целевой системе для использования этой уязвимости.
CVE-2022-36310В программном обеспечении Airspan AirVelocity 1500 до версии 15.18.00.2511 была включена NET-SNMP-EXTEND-MIB в службе snmpd, что позволяло злоумышленнику с правами записи SNMP выполнять команды от имени root на eNodeB. Эта проблема может затронуть другие модели AirVelocity и AirSpeed.
CVE-2017-0904Ruby-гем private_address_check до версии 0.4.0 уязвим для обхода из-за использования метода Ruby Resolv.getaddresses, который зависит от ОС и на который не следует полагаться для мер безопасности, например, при использовании для внесения в черный список частных сетевых адресов для предотвращения подделки запросов на стороне сервера.
CVE-2025-1994IBM Cognos Command Center 10.2.4.1 и 10.2.5 может позволить локальному пользователю выполнить произвольный код на системе из-за небезопасного использования функции BinaryFormatter [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7242159
CVE-2025-1331IBM CICS TX Standard 11.1 и IBM CICS TX Advanced 10.1 и 11.1 могут позволить локальному пользователю выполнить произвольный код в системе из-за небезопасного использования функции gets. Уязвимость связана с использованием опасных функций библиотеки C. Для устранения уязвимости IBM рекомендует загрузить и применить исправления из Fix Central [1][2].
Источники:
- [1] https://www.ibm.com/support/pages/node/7232923
- [2] https://www.ibm.com/support/pages/node/7232924
CVE-2021-42543Уязвимое приложение использует определенные функции, которыми можно злоупотребить через специально созданный файл проекта, что может привести к выполнению кода, перезагрузке системы и выключению системы.
CVE-2021-40698На версии ColdFusion 2021 update 1 (и более ранние) и версиях 2018.10 (и более ранние) влияет уязвимость использования изначально опасной функции, которая может привести к обходу функции безопасности. Аутентифицированный злоумышленник может использовать эту уязвимость для доступа к произвольным данным в среде и управления ими.