CWE-264 · Разрешения, привилегии и управление доступом

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-264КатегорияObsolete

Абстракция: Категория

Статус: Obsolete

Источник ↗

Разрешения, привилегии и управление доступом

Слабости этой категории связаны с управлением разрешениями, привилегиями и другими функциями безопасности, применяемыми для контроля доступа.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2016-8363Обнаружена проблема в Moxa OnCell OnCellG3470A-LTE, AWK-1131A/3131A/4131A Series, AWK-3191 Series, AWK-5232/6232 Series, AWK-1121/1127 Series, WAC-1001 V2 Series, WAC-2004 Series, AWK-3121-M12-RTG Series, AWK-3131-M12-RCC Series, AWK-5232-M12-RCC Series, TAP-6226 Series, AWK-3121/4121 Series, AWK-3131/4131 Series и AWK-5222/6222 Series. Пользователь может выполнять произвольные команды ОС на сервере.

CVE-2016-7457VMware vRealize Operations (aka vROps) 6.x до 6.4.0 позволяет удаленным аутентифицированным пользователям получать привилегии или останавливать и удалять виртуальные машины через неуказанные векторы.

CVE-2015-8267Метод PasswordReset.Controllers.ResetController.ChangePasswordIndex в PasswordReset.dll в Dovestones AD Self Password Reset до 3.0.4.0 позволяет удаленным злоумышленникам сбрасывать произвольные пароли через специально созданный запрос с допустимым именем пользователя.

CVE-2015-8236Arista EOS до 4.11.12, 4.12 до 4.12.11, 4.13 до 4.13.14M, 4.14 до 4.14.5FX.5 и 4.15 до 4.15.0FX1.1 позволяет удаленным злоумышленникам выполнять произвольный код от имени root, используя доступ к плоскости управления, также известная как Bug 138716.

CVE-2015-7919SearchBlox 8.3 до версии 8.3.1 позволяет удаленным злоумышленникам записывать в файл конфигурации и, следовательно, вызывать отказ в обслуживании (сбой приложения) через неуказанные векторы.

CVE-2015-7861Persistent Accelerite Radia Client Automation (ранее HP Client Automation), возможно, до 9.1, позволяет удаленным злоумышленникам выполнять произвольный код, отправляя неуказанные команды в среде, в которой отсутствует брандмауэр на основе взаимосвязей.

CVE-2015-7709Демон arkeiad в Arkeia Backup Agent в Western Digital Arkeia 11.0.12 и более ранних версиях позволяет удаленным злоумышленникам обходить аутентификацию и выполнять произвольные команды через серию специально созданных запросов, включающих операцию ARKFS_EXEC_CMD.

CVE-2015-7425Компонент Data Protection в VMware vSphere GUI в IBM Tivoli Storage Manager for Virtual Environments: Data Protection for VMware (также известный как Spectrum Protect for Virtual Environments) 6.3 до 6.3.2.5, 6.4 до 6.4.3.1 и 7.1 до 7.1.4 и Tivoli Storage FlashCopy Manager for VMware (также известный как Spectrum Protect Snapshot) 3.1 до 3.1.1.3, 3.2 до 3.2.0.6 и 4.1 до 4.1.4 позволяет удаленным злоумышленникам получать права администратора через специально созданный URL-адрес, который запускает выполнение серверной функции.

CVE-2015-7071Компонент File Bookmark в Apple OS X до версии 10.11.2 позволяет злоумышленникам обходить механизм защиты песочницы для закладок с областью действия приложения через специально созданный путь.

CVE-2015-4032projectContents.jsp в инструментах разработчика в Visual Mining NetCharts Server позволяет удаленным злоумышленникам переименовывать произвольные файлы и, следовательно, выполнять их через неуказанные векторы.

CVE-2015-3459Модуль связи в Hospira LifeCare PCA Infusion System до версии 7.0 не требует аутентификации для корневых сеансов TELNET, что позволяет удаленным злоумышленникам изменять конфигурацию насоса через неуказанные команды.

CVE-2015-3435Samsung Security Manager (SSM) до версии 1.31 позволяет удаленным злоумышленникам выполнять произвольный код, загружая файл с HTTP-запросом (1) PUT или (2) MOVE.

CVE-2015-2284userlogin.jsp в SolarWinds Firewall Security Manager (FSM) до 6.6.5 HotFix1 позволяет удаленным злоумышленникам получать привилегии и выполнять произвольный код через неуказанные векторы, связанные с обработкой клиентских сессий.

CVE-2015-1498Persistent Systems Radia Client Automation неправильно ограничивает доступ к определенным запросам, что позволяет удаленным злоумышленникам (1) перечислять учетные записи пользователей через запрос getUsers, (2) назначать роль учетной записи пользователя через запрос addAssigneesToRole, (3) удалять роль из учетной записи пользователя через запрос removeAssigneesFromRole или (4) оказывать иное неуказанное воздействие.

CVE-2015-1448Интегрированная служба управления на устройствах Siemens Ruggedcom WIN51xx с прошивкой до SS4.4.4624.35, устройствах WIN52xx с прошивкой до SS4.4.4624.35, устройствах WIN70xx с прошивкой до BS4.4.4621.32 и устройствах WIN72xx с прошивкой до BS4.4.4621.32 позволяет удаленным злоумышленникам обходить аутентификацию и выполнять административные действия через неуказанные векторы.