CWE-248 · Неперехваченное исключение

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-248БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Неперехваченное исключение

Функция генерирует исключение, которое нигде не перехватывается.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-12423Манипуляции с протоколом могут привести к отказу в обслуживании.Эта проблема затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5 .

CVE-2018-11466Уязвимость была выявлена в SINUMERIK 808D V4.7 (все версии), SINUMERIK 808D V4.8 (все версии), SINUMERIK 828D V4.7 (все версии < V4.7 SP6 HF1), SINUMERIK 840D sl V4.7 (все версии < V4.7 SP6 HF5), SINUMERIK 840D sl V4.8 (все версии < V4.8 SP3). Специально созданные сетевые пакеты, отправленные на порт 102/tcp (ISO-TSAP), могут позволить удаленному злоумышленнику либо вызвать отказ в обслуживании встроенного программного брандмауэра, либо выполнить код в контексте программного брандмауэра. Уязвимость безопасности может быть использована злоумышленником с сетевым доступом к уязвимым системам на порту 102/tcp. Для успешной эксплуатации не требуется никаких привилегий и никакого взаимодействия с пользователем. Уязвимость может позволить злоумышленнику скомпрометировать конфиденциальность, целостность и доступность системы. На момент публикации рекомендации об общедоступной эксплуатации этой уязвимости безопасности известно не было.

CVE-2025-53620@builder.io/qwik-city - это мета-фреймворк для Qwik. При выполнении Qwik Server Action QRL динамически загружается файл, содержащий символ. Когда отправляется неверный qfunc, сервер не обрабатывает возникшую ошибку. Ошибка приводит к завершению работы Node JS. Уязвимость исправлена в версии 1.13.0 [1]. Источники: - [1] https://github.com/QwikDev/qwik/security/advisories/GHSA-qr9h-j6xg-2j72

CVE-2023-0790Неперехваченное исключение в репозитории GitHub thorsten/phpmyfaq до версии 3.1.11.

CVE-2026-9509Без обработки исключений в Suprema BioStar 2 (Server), версиях 2.9.8, 2.9.10 и 2.9.11, что позволяет неаутифицированному удаленному злоумышленнику вызвать отказ в обслуживании (DoS), отправив HTTP POST запросы на конечную точку «/api/migration». Этот запрос вызывает сбой, который останавливает критические процессы, оставляя систему в автономном режиме до тех пор, пока службы или сервер не будут перезапущены вручную. В результате читатели с контролем доступа перестают функционировать, и потенциальные сбои могут произойти в сторонних интеграциях. Поскольку эксплойт не требует привилегий или взаимодействия с пользователем и тривиален для автоматизации, влияние на доступность является высоким, и эффект распространяется на взаимосвязанные системы.

CVE-2026-46689Kanidm - это платформа для управления идентификацией. До версии 1.9.3, один неаутентированный GET к любой /cim/v1/... конечной точке с ?фильтроком запроса из нескольких тысяч вложенных скобок (≈ 4-12 KB) прогоняет рекурсивный спусковой парсер PEG мимо страницы гвардии рабочей нити. Rust реагирует на переполнение стека std::process::abort() — выход всего процесса kaniddd. Парс проходит внутри экстрактора Query<ScimEntryGetQuery>, перед любым телом обработчика и, следовательно, перед любой проверкой ACL. Эта проблема была исправлена в версии 1.9.3.

CVE-2026-34752Haraka - почтовый сервер Node.js. До версии 3.1.4 отправка электронного письма с __proto__: как имя заголовка разбивает процесс работника Хараки. Этот вопрос был исправлен в версии 3.1.4.

CVE-2026-32314Yamux - это мультиплексор потока по надежным, упорядоченным соединениям, таким как TCP/IP. До 0,13.10 реализация Rust Yamux может паниковать при обработке созданной входящий кадр данных, который устанавливает SYN и использует длину тела, большую, чем ДЕФОЛТ_CREDIT (например, 262145). На первом пакете нового входящем потока создается состояние потока, и приемник ставится в очередь до завершения проверки негабаритного корпуса. Когда проверка не работает, временный поток удаляется, и очистка может вызвать удаление (....).expect(« поток не найден»), вызывая панику в машине состояния соединения. Это удаленно доступно в течение обычного сеанса Yamux и не требует аутентификации. Эта уязвимость исправлена в пункте 0.13.10.

CVE-2026-31812Quinn - это чисто ржавая, совместимая с асинхронизацией транспортного протокола IETF QUIC. До 0.11.14 удаленный, неаутентифицированный злоумышленник может вызвать отказ в обслуживании в приложениях с использованием уязвимых версий квинн, отправив созданный пакет QUIC Initial, содержащий уродливый quic_transport_parameters. В логике парсинга quinn-proto контролируемые атакующий вилы декодируются с помощью unwrap(), поэтому усеченные кодировки вызывают Err (неожиданноEnd) и панику. Это доступно по сети с одним пакетом и без предварительного доверия или аутентификации. Эта уязвимость исправлена в пункте 0.11.14.

CVE-2026-1507Пострадавшие продукты уязвимы для не пойманных исключений, которые могут позволить неаутентифицированному злоумышленнику удаленно разбивает основные услуги PI, что приведет к отказу в обслуживании.

CVE-2025-9124Проблема безопасности отказа в обслуживании в затронутом продукте. Проблема безопасности связана с ошибкой, возникающей при отправке созданного неподключенным явного сообщения CIP. Это может привести к серьезной невосстановимой ошибке.

CVE-2025-53366MCP Python SDK, известный как `mcp` на PyPI, является реализацией Protocol Buffers (MCP) на языке Python. В версии до 1.9.4 существует ошибка проверки валидности, которая может вызвать необработанное исключение при обработке некорректных запросов, что приводит к недоступности сервиса (ошибки 500) до ручного перезапуска. Влияние может варьироваться в зависимости от условий развертывания и наличия механизмов обеспечения устойчивости на уровне инфраструктуры. Версия 1.9.4 содержит исправление для этой проблемы [1]. Источники: - [1] https://github.com/modelcontextprotocol/python-sdk/security/advisories/GHSA-3qhf-m339-9g5v - [2] https://github.com/modelcontextprotocol/python-sdk/pull/822 - [3] https://github.com/modelcontextprotocol/python-sdk/commit/29c69e6a47d0104d0afcea6ac35e7ab02fde809a

CVE-2025-53365Уязвимость в MCP Python SDK, называемом `mcp` на PyPI, позволяет вызвать отказ в обслуживании (DoS) на стороне сервера из-за необработанного исключения ClosedResourceError. Проблема исправлена в версии 1.10.0 [1]. Источники: - [1] https://github.com/modelcontextprotocol/python-sdk/security/advisories/GHSA-j975-95f5-7wqh

CVE-2025-48997Multer - это middleware для node.js, обрабатывающий `multipart/form-data`. Уязвимость, существующая начиная с версии 1.4.4-lts.1 и до версии 2.0.1, позволяет злоумышленнику вызвать отказ в обслуживании (DoS), отправив запрос на загрузку файла с пустым именем поля. Этот запрос вызывает необработанное исключение, приводящее к сбою процесса. Пользователям рекомендуется обновиться до версии `2.0.1`, чтобы получить исправление [1][2]. Источники: - [1] https://github.com/expressjs/multer/security/advisories/GHSA-g5hg-p3ph-g8qg - [2] https://github.com/expressjs/multer/commit/35a3272b611945155e046dd5cef11088587635e9

CVE-2025-43855tRPC позволяет пользователям строить и использовать полностью безопасные API без схем или генерации кода. В версиях от 11.0.0 до 11.1.1 (не включая 11.1.1) выбрасывается необработанная ошибка при проверке недопустимых connectionParams, что приводит к сбою сервера tRPC WebSocket. Это позволяет любому неаутентифицированному пользователю вызвать сбой сервера tRPC 11 WebSocket. Любой сервер tRPC 11 с включенным WebSocket и установленным методом createContext является уязвимым. Эта проблема исправлена в версии 11.1.1 [1]. Источники: - [1] https://github.com/trpc/trpc/security/advisories/GHSA-pj3v-9cm8-gvj8 - [2] https://github.com/trpc/trpc/commit/9beb26c636d44852e0f407f3d7a82ad54df65b4d