V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-266БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Некорректное назначение привилегий

Продукт некорректно назначает привилегию конкретному субъекту, формируя для него непредусмотренную сферу управления.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2026-48172Получение конфиденциальной информации в LiteSpeed User-End cPanel Plugin
CVE-2026-23800Неправильная уязвимость Privilege Assignment в модульном модуле DS-разъединитель позволяет Escalation Privilege. Эта проблема затрагивает модульный DS: от 2.5.2 до 2.6.0.
CVE-2024-9479Уязвимость неправильного управления привилегиями в upKeeper Solutions upKeeper Instant Privilege Access позволяет повысить привилегии. Эта проблема затрагивает upKeeper Instant Privilege Access: до 1.2.
CVE-2024-9478Уязвимость неправильного управления привилегиями в upKeeper Solutions upKeeper Instant Privilege Access позволяет повысить привилегии. Эта проблема затрагивает upKeeper Instant Privilege Access: до 1.2.
CVE-2026-42368Уязвимость эскалации привилегий существует в функциональности веб-интерфейса GeoVision LPC2011/LPC2211 1.10. Специально созданный запрос HTTP может привести к выполнению привилегированной операции. Злоумышленник может посетить веб-страницу, чтобы вызвать эту уязвимость.
CVE-2025-62645Платформа помощника RBI позволяет удалённому аутентифицированному атакующему получить токен с административными привилегиями для всей системы через GraphQL‑мутирование createToken. Уязвимость основывается на ранее обнаруженных проблемах: открытая регистрация в AWS Cognito, отсутствие проверки email, жёстко закодированные пароли и возможность выполнения GraphQL‑запросов без ограничений. Получив токен, злоумышленник может управлять всеми магазинными данными, просматривать и редактировать учётные записи сотрудников, получать доступ к голосовым записям заказов и отправлять уведомления. Уязвимость была устранена в патчах, опубликованных сразу после раскрытия. Источники: - [1] https://www.yahoo.com/news/articles/burger-king-hacked-attackers-impressed-124154038.html - [2] https://www.malwarebytes.com/blog/news/2025/09/popeyes-tim-hortons-burger-king-platforms-have-catastrophic-vulnerabilities-say-hackers - [3] https://web.archive.org/web/20250906134240/https:/bobdahacker.com/blog/rbi-hacked-drive-thrus - [4] https://bobdahacker.com/blog/rbi-hacked-drive-thrus/
CVE-2025-54049Неправильное уязвимость Privilege Assignment в miniOrange Custom API для WP custom-api-for-wp позволяет Escalation.Эта проблема затрагивает Пользовательский API для WP: от n/a до <= 4.2.2.
CVE-2025-26512Версии SnapCenter до 6.0.1P1 и 6.1P1 подвержены уязвимости, которая может позволить аутентифицированному пользователю SnapCenter Server стать администратором на удаленной системе, где установлен плагин SnapCenter.
CVE-2025-10725В Red Hat OpenShift AI обнаружена уязвимость, позволяющая злоумышленнику с низким уровнем привилегий (например, учёному данных, использующему Jupyter‑ноутбук) повысить свои полномочия до уровня кластера‑администратора. В кластере присутствует роль ClusterRole «kueue-batch-user-role», ошибочно привязанная к группе system:authenticated, что предоставляет любой аутентифицированной сущности право создавать OpenShift‑Jobs в любом пространстве имён. Злоумышленник может запустить вредоносный Job в привилегированном пространстве, использовать высокопривилегированный ServiceAccount для кражи токена и последующего повышения привилегий до root на мастерах кластера. Рекомендации: удалить привязку ClusterRoleBinding, ограничив создание Job только необходимыми пользователями или группами, следуя принципу наименьших привилегий. Подробнее см. в источниках [1][2]. Источники: - [1] https://access.redhat.com/security/cve/CVE-2025-10725 - [2] https://bugzilla.redhat.com/show_bug.cgi?id=2396641
CVE-2019-10940Обнаружена уязвимость в SINEMA Server (все версии < V14.0 SP2 Update 1). Неправильная проверка сеанса может позволить злоумышленнику с действующим сеансом с низкими привилегиями выполнять обновления прошивки и другие административные операции на подключенных устройствах. Уязвимость безопасности может быть использована злоумышленником с сетевым доступом к уязвимой системе. Злоумышленник должен иметь доступ к учетной записи с низкими привилегиями, чтобы использовать уязвимость. Злоумышленник может использовать уязвимость для нарушения конфиденциальности, целостности и доступности уязвимой системы и базовых компонентов. На момент публикации рекомендаций об общедоступной эксплуатации этой уязвимости безопасности ничего не было известно.
CVE-2026-49060Неправильная уязвимость привилегий в мобильном приложении Hipoo для WooCommerce позволяет Escalation Privilege. Эта проблема затрагивает мобильное приложение Hipoo для WooCommerce: от n/a до 1.9.4.
CVE-2026-48879Неправильная уязвимость привилегий в Сергее АИСВЭ позволяет Escalation Privilege. Эта проблема затрагивает AIWU: от n/a до 1.4.17.
CVE-2026-42758Неправильное уязвимость привилегий в команде Saleswonder: Tobias WebinarIgnition вебинар-зажигание позволяет Escalation Privilege.Эта проблема затрагивает WebinarIgnition: от n/a до < 4.08.253.
CVE-2026-42731Неправильное уязвимость Privilege Assignment в miniOrange otp проверки miniorange-otp-проверка позволяет Escalation Privilege.Эта проблема затрагивает минойско-топ-проверку: от n/a до <= 5.4.9.
CVE-2026-42680Неправильное уязвимость Privilege Assignment в Василий Стрекер / Разработчик Конкурсгалия Конкурс Галерея Pro позволяет привилегия Эскалация. Этот выпуск затрагивает Contest Gallery Pro: от n/a до 29.0.1.