CWE-274БазаЧерновик
Некорректная обработка недостаточных привилегий
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда привилегий недостаточно для выполнения операции, что приводит к производным слабостям.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-20156Уязвимость в REST API Cisco Meeting Management может позволить удаленному аутентифицированному злоумышленнику с низкими привилегиями повысить свои привилегии до администратора на уязвимом устройстве.
Эта уязвимость существует из-за того, что надлежащая авторизация не применяется к пользователям REST API. Злоумышленник может использовать эту уязвимость, отправив запросы API к определенной конечной точке. Успешная эксплуатация может позволить злоумышленнику получить контроль уровня администратора над периферийными узлами, управляемыми Cisco Meeting Management.
CVE-2023-39375SiberianCMS - CWE-274: Неправильная обработка недостаточных привилегий.
CVE-2022-45101Dell PowerScale OneFS 9.0.0.x - 9.4.0.x содержит уязвимость неправильной обработки недостаточных привилегий в NFS. Удаленный не прошедший проверку подлинности злоумышленник может потенциально воспользоваться этой уязвимостью, что приведет к раскрытию информации и удаленному выполнению кода.
CVE-2022-0668JFrog Artifactory до версии 7.37.13 уязвим для обхода аутентификации, что может привести к повышению привилегий, когда специально созданный запрос отправляется неаутентифицированным пользователем.
CVE-2024-0105NVIDIA ConnectX Firmware содержит уязвимость, когда злоумышленник может вызвать проблему неправильной обработки недостаточных привилегий. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании, подделке данных и ограниченному раскрытию информации.
CVE-2024-21648XWiki Platform - это общая вики-платформа, предлагающая сервисы времени выполнения для приложений, построенных на ее основе. В действии отката отсутствует защита прав, пользователь может откатиться к предыдущей версии страницы, чтобы получить права, которых у него больше нет. Проблема была исправлена в XWiki 14.10.17, 15.5.3 и 15.8-rc-1 путем обеспечения проверки прав перед выполнением отката.
CVE-2023-35928Nextcloud Server — это пространство для хранения данных в Nextcloud, платформе повышения производительности с самостоятельным размещением. В NextCloud Server версий с 25.0.0 по 25.0.7 и с 26.0.0 по 26.0.2 и Nextcloud Enterprise Server версий с 19.0.0 по 19.0.13.9, с 20.0.0 по 20.0.14.14, с 21.0.0 по 21.0.9.12, с 22.0.0 по 22.2.10.12, с 23.0.0 по 23.0.12.7, с 24.0.0 по 24.0.12.2, с 25.0.0 по 25.0.7 и с 26.0.0 по 26.0.2, пользователь может использовать эту функциональность для получения доступа к учетным данным другого пользователя и захвата его учетной записи. Эта проблема была исправлена в Nextcloud Server версий 25.0.7 и 26.0.2 и NextCloud Enterprise Server версий 19.0.13.9, 20.0.14.14, 21.0.9.12, 22.2.10.12, 23.0.12.7, 24.0.12.2, 25.0.7 и 26.0.2.
Доступны три обходных решения. Отключите приложение files_external. Измените настройку конфигурации «Разрешить пользователям монтировать внешние хранилища» на «отключено» в настройках «Администрирование» > «Внешние хранилища» `…/index.php/settings/admin/externalstorages`. Измените настройку конфигурации, чтобы запретить пользователям создавать внешние хранилища в настройках «Администрирование» > «Внешние хранилища» `…/index.php/settings/admin/externalstorages` с типами FTP, Nextcloud, SFTP и/или WebDAV.
CVE-2020-7283Уязвимость повышения привилегий в McAfee Total Protection (MTP) до 16.0.R26 позволяет локальным пользователям создавать и редактировать файлы посредством манипулирования символическими ссылками в месте, к которому они в противном случае не имели бы доступа. Это достигается путем запуска вредоносного скрипта или программы на целевой машине.
CVE-2024-0106NVIDIA ConnectX Host Firmware для BlueField Data Processing Unit (DPU) содержит уязвимость, когда злоумышленник может вызвать проблему неправильной обработки недостаточных привилегий. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании, подделке данных и ограниченному раскрытию информации.
CVE-2020-7267Уязвимость повышения привилегий в McAfee VirusScan Enterprise (VSE) для Linux до 2.0.3 Hotfix 2635000 позволяет локальным пользователям удалять файлы, к которым пользователь в противном случае не имел бы доступа, посредством манипулирования символическими ссылками для перенаправления действия удаления McAfee на непреднамеренный файл. Это достигается путем запуска вредоносного скрипта или программы на целевой машине.
CVE-2020-7266Уязвимость повышения привилегий в McAfee VirusScan Enterprise (VSE) для Windows до 8.8 Patch 14 Hotfix 116778 позволяет локальным пользователям удалять файлы, к которым пользователь в противном случае не имел бы доступа, посредством манипулирования символическими ссылками для перенаправления действия удаления McAfee на непреднамеренный файл. Это достигается путем запуска вредоносного скрипта или программы на целевой машине.
CVE-2020-7265Уязвимость повышения привилегий в McAfee Endpoint Security (ENS) для Mac до 10.6.9 позволяет локальным пользователям удалять файлы, к которым пользователь в противном случае не имел бы доступа, посредством манипулирования символическими ссылками для перенаправления действия удаления McAfee на непреднамеренный файл. Это достигается путем запуска вредоносного скрипта или программы на целевой машине.
CVE-2020-7264Уязвимость повышения привилегий в McAfee Endpoint Security (ENS) для Windows до исправления 10.7.0 Hotfix 199847 позволяет локальным пользователям удалять файлы, к которым пользователь в противном случае не имел бы доступа, посредством манипулирования символическими ссылками для перенаправления действия удаления McAfee на непреднамеренный файл. Это достигается путем запуска вредоносного скрипта или программы на целевой машине.
CVE-2023-1943Эскалация привилегий в kOps с использованием провайдера GCE/GCP в режиме Gossip.
CVE-2020-7291Уязвимость повышения привилегий в McAfee Active Response (MAR) для Mac до 2.4.3 Hotfix 1 позволяет вредоносному скрипту или программе выполнять функции, к которым локальному выполняющему пользователю не было предоставлено доступа.