CWE-270БазаЧерновик
Ошибка переключения контекста привилегий
Продукт не управляет должным образом привилегиями при переключении между различными контекстами, обладающими разными привилегиями или сферами управления.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2019-11708Недостаточная проверка параметров, передаваемых с сообщением Prompt:Open IPC между дочерними и родительскими процессами, может привести к тому, что неограниченный родительский процесс откроет веб-контент, выбранный скомпрометированным дочерним процессом. В сочетании с дополнительными уязвимостями это может привести к выполнению произвольного кода на компьютере пользователя. Эта уязвимость затрагивает Firefox ESR < 60.7.2, Firefox < 67.0.4 и Thunderbird < 60.7.2.
CVE-2023-25754Ошибка переключения контекста привилегий в Apache Software Foundation Apache Airflow. Эта проблема затрагивает Apache Airflow: до 2.6.0.
CVE-2024-8641Проблема обнаружена в GitLab CE/EE и затрагивает все версии, начиная с 13.7 до 17.1.7, с 17.2 до 17.2.5 и с 17.3 до 17.3.2. Злоумышленник, имеющий CI_JOB_TOKEN жертвы, мог получить токен сеанса GitLab, принадлежащий жертве.
CVE-2024-36513Уязвимость ошибки переключения контекста привилегий [CWE-270] в FortiClient Windows версии 7.2.4 и ниже, версии 7.0.12 и ниже, 6.4 всех версий может позволить аутентифицированному пользователю повысить свои привилегии через скрипты автоматического исправления lua.
CVE-2023-37912XWiki Rendering - это универсальная система рендеринга, которая преобразует текстовый ввод в заданном синтаксисе в другой синтаксис. До версии 14.10.6 `org.xwiki.platform:xwiki-core-rendering-macro-footnotes` и `org.xwiki.platform:xwiki-rendering-macro-footnotes` и до версии 15.1-rc-1 `org.xwiki.platform:xwiki-rendering-macro-footnotes` макрос сносок выполнял свой контент в потенциально ином контексте, чем тот, в котором он был определен. В частности, в сочетании с макросом include это позволяет повысить привилегии с простой учетной записи пользователя в XWiki до прав программирования и, следовательно, удаленного выполнения кода, что влияет на конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была исправлена в XWiki 14.10.6 и 15.1-rc-1. Обходного пути нет, кроме обновления до исправленной версии макроса сносок.
CVE-2016-2781chroot в GNU coreutils, при использовании с --userspec, позволяет локальным пользователям получить доступ к родительскому сеансу через специально созданный вызов TIOCSTI ioctl, который помещает символы во входной буфер терминала.
CVE-2016-2779runuser в util-linux позволяет локальным пользователям получить доступ к родительскому сеансу через специально созданный вызов TIOCSTI ioctl, который помещает символы во входной буфер терминала.
CVE-2017-10912Xen до версии 4.8.x неправильно обрабатывает передачу страниц, что позволяет пользователям гостевой ОС получить привилегированный доступ к хост-ОС, также известная как XSA-217.
CVE-2024-11263Когда включена относительная адресация Global Pointer (GP) (CONFIG_RISCV_GP=y), регистр gp указывает на 0x800 байтов после начала раздела .sdata, который затем используется компоновщиком для ослабления доступа к глобальным символам.
CVE-2025-9408Система вызова на Cortex M (и, возможно, R и A, но я думаю, что нет) имеет гонку, которая позволяет очень практичную эскалацию привилегий для процессов вредоносного пользовательского пространства.
CVE-2024-46975Программное обеспечение ядра, установленное и работающее внутри Гостевой Виртуальной Машины, может использовать память, общую с прошивкой GPU, чтобы записать данные в виртуализированную память другого Гостя.
CVE-2025-60721Ошибка переключения контекста привилегий в защите администратора Windows позволяет авторизованному злоумышленнику повысить привилегии локально.
CVE-2017-2663Обнаружено, что интерфейс DBus subscription-manager версий до 1.19.4 позволяет непривилегированному пользователю получать доступ к методам com.redhat.RHSM1.Facts.GetFacts и com.redhat.RHSM1.Config.Set. Непривилегированный локальный злоумышленник может использовать эти методы для получения доступа к частной информации или для запуска атаки с повышением привилегий.
CVE-2026-34853Уязвимость обхода разрешения в модуле LBS.
Эффект: Успешная эксплуатация этой уязвимости может повлиять на доступность.
CVE-2021-3493Реализация overlayfs в ядре linux некорректно проверяет установку возможностей файла в файловой системе на основе пространств имен пользователей. В связи с сочетанием непривилегированных пространств имен пользователей и патча, содержащегося в ядре Ubuntu, позволяющим непривилегированные монтирования overlay, злоумышленник может использовать это для получения повышенных привилегий.