CWE-252 · Непроверяемое возвращаемое значение

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-252БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Непроверяемое возвращаемое значение

Продукт не проверяет возвращаемое значение метода или функции, что не позволяет обнаружить неожиданные состояния и условия.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2022-25718Криптографическая проблема в WLAN из-за неправильной проверки возвращаемого значения во время подтверждения соединения в Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking.

CVE-2021-38171adts_decode_extradata в libavformat/adtsenc.c в FFmpeg 4.4 не проверяет возвращаемое значение init_get_bits, что является необходимым шагом, поскольку второй аргумент init_get_bits может быть создан.

CVE-2021-26955В xcb crate до 2021-02-04 для Rust обнаружена проблема. Она имеет нарушение корректности, поскольку xcb::xproto::GetAtomNameReply::name() вызывает std::str::from_utf8_unchecked() для невалидированных байтов с X-сервера.

CVE-2019-15900В slicer69 doas до версии 6.2 на определенных платформах, отличных от OpenBSD, обнаружена проблема. На платформах без strtonum(3) использовалась функция sscanf без проверки на наличие ошибок. Вместо этого проверялась неинициализированная переменная errstr и в некоторых случаях возвращала успех, даже если sscanf завершалась неудачно. В результате вместо сообщения о том, что предоставленное имя пользователя или группы не существует, команда выполнялась от имени root.

CVE-2010-0211Функция slap_modrdn2mods в modrdn.c в OpenLDAP 2.4.22 не проверяет возвращаемое значение вызова функции smr_normalize, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (ошибку сегментации) и, возможно, выполнять произвольный код через вызов modrdn со строкой RDN, содержащей недопустимые последовательности UTF-8, что вызывает освобождение недопустимого, неинициализированного указателя в функции slap_mods_free, как продемонстрировано с использованием тестового набора Codenomicon LDAPv3.

CVE-2007-3798Переполнение целого числа в print-bgp.c в анализаторе BGP в tcpdump 3.9.6 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код через специально созданные TLV в пакете BGP, связанные с непроверенным возвращаемым значением.

CVE-1999-0199manual/search.texi в библиотеке GNU C (aka glibc) до версии 2.2 не хватает утверждения о неуказанном возвращаемом значении tdelete при удалении корня дерева, что может позволить злоумышленникам получить доступ к висячему указателю в приложении, разработчик которого не знал об обновлении документации от 1999 года.

CVE-2025-66565Fiber Utils - это набор общих функций, созданных для волокон. В версиях 2.0.0-rc.3 и ниже, когда криптографический генератор случайных чисел (крипто/ранда) выходит из строя, обе функции бесшумно возвращаются к возвращению предсказуемых значений UUID, включая нулевое UUID "00000000-0000-0000-000000000000". Уязвимость возникает через два связанных, но отчетливых пути сбоев, оба из которых в конечном итоге вызваны сбоем crypto/rand.Read(), ставя под угрозу безопасность всех приложений Fiber, использующих эти функции для критически важных операций. Эта проблема исправлена в версии 2.0.0-rc.4.

CVE-2024-50306Непроверенное возвращаемое значение может позволить Apache Traffic Server сохранять привилегии при запуске. Эта проблема затрагивает Apache Traffic Server: с версии 9.2.0 по 9.2.5, с версии 10.0.0 по 10.0.1. Пользователям рекомендуется обновиться до версии 9.2.6 или 10.0.2, в которых эта проблема исправлена.

CVE-2025-46672В NASA CryptoLib версии до 1.3.2 не проверяется статус, возвращаемый функцией OTAR crypto, что потенциально может привести к захвату космического корабля. CryptoLib - это программное решение, реализующее протокол безопасности канала передачи данных для космических систем. Уязвимость позволяет злоумышленнику отправлять произвольные команды на бортовой компьютер космического корабля, потенциально вызывая нежелательное поведение или полный контроль над космическим кораблем. Для устранения уязвимости рекомендуется обновить CryptoLib до версии 1.3.2 или более поздней [1][2]. Источники: - [1] https://github.com/nasa/CryptoLib/pull/360 - [2] https://securitybynature.fr/post/hacking-cryptolib/ - [3] https://github.com/nasa/CryptoLib/compare/v1.3.1...v1.3.2

CVE-2024-38427В International Color Consortium DemoIccMAX до 85ce74e логическая ошибка в CIccTagXmlProfileSequenceId::ParseXml в IccXML/IccLibXML/IccTagXml.cpp приводит к безусловному возврату false.

CVE-2024-2881Уязвимость Fault Injection в функции wc_ed25519_sign_msg в wolfssl/wolfcrypt/src/ed25519.c в WolfSSL wolfssl5.6.6 на Linux/Windows позволяет удаленному злоумышленнику, совместно проживающему в той же системе с процессом жертвы, раскрывать информацию и повышать привилегии с помощью Rowhammer fault injection в структуру ed25519_key.

CVE-2024-1545Уязвимость, связанная с инъекцией ошибок, в функции RsaPrivateDecryption в wolfssl/wolfcrypt/src/rsa.c в WolfSSL wolfssl5.6.6 в Linux/Windows позволяет удаленному злоумышленнику, находящемуся в той же системе, что и процесс жертвы, раскрывать информацию и повышать привилегии с помощью инъекции ошибок Rowhammer в структуру RsaKey.

CVE-2023-44182Уязвимость непроверенного возвращаемого значения в пользовательских интерфейсах Juniper Networks Junos OS и Junos OS Evolved, CLI, XML API, XML Management Protocol, NETCONF Management Protocol, интерфейсах gNMI и пользовательских интерфейсах J-Web вызывает непреднамеренные эффекты, такие как понижение или повышение привилегий, связанных с действиями операторов. Может произойти несколько сценариев; например: повышение привилегий над устройством или другой учетной записью, доступ к файлам, которые в противном случае не должны быть доступны, файлы, недоступные там, где они должны быть доступны, код, который должен выполняться от имени непривилегированного пользователя, может выполняться от имени root, и так далее. Эта проблема затрагивает: Juniper Networks Junos OS * Все версии до 20.4R3-S7; * 21.1 версии до 21.1R3-S5; * 21.2 версии до 21.2R3-S5; * 21.3 версии до 21.3R3-S4; * 21.4 версии до 21.4R3-S3; * 22.1 версии до 22.1R3-S2; * 22.2 версии до 22.2R2-S2, 22.2R3; * 22.3 версии до 22.3R1-S2, 22.3R2. Juniper Networks Junos OS Evolved * Все версии до 21.4R3-S3-EVO; * 22.1-EVO версия 22.1R1-EVO и более поздние версии до 22.2R2-S2-EVO, 22.2R3-EVO; * 22.3-EVO версии до 22.3R1-S2-EVO, 22.3R2-EVO.

CVE-2021-26958В xcb crate до 2021-02-04 для Rust обнаружена проблема. Она имеет нарушение корректности, поскольку преобразование к неправильному типу может произойти после того, как xcb::base::cast_event использует std::mem::transmute для возврата ссылки на произвольный тип.