CWE-276 · Некорректные разрешения по умолчанию

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-276БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Некорректные разрешения по умолчанию

В процессе установки разрешения для устанавливаемых файлов задаются таким образом, что любой пользователь может их изменять.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Доступ к функциональности, не ограниченной ACL должным образом

Фальсификация журналов веб-сервера

Индексирование каталогов

Связанные уязвимости

CVE-2023-29131Обнаружена уязвимость в SIMATIC CN 4100 (все версии < V2.5). Затронутое устройство состоит из неправильного значения по умолчанию в конфигурации SSH. Это может позволить злоумышленнику обойти сетевую изоляцию.

CVE-2022-42150TinyLab linux-lab v1.1-rc1 и cloud-labv0.8-rc2, v1.1-rc1 уязвимы для небезопасных разрешений. Конфигурация по умолчанию может привести к выходу из контейнера.

CVE-2020-29492Dell Wyse ThinOS 8.6 и более ранние версии содержат уязвимость небезопасной конфигурации по умолчанию. Удаленный неаутентифицированный злоумышленник может потенциально использовать эту уязвимость для доступа к доступному для записи файлу и манипулирования конфигурацией любой целевой конкретной станции.

CVE-2019-19896В IXP EasyInstall 6.2.13723 существует удаленное выполнение кода из-за слабых разрешений на общей папке Engine Service. Разрешения файла по умолчанию для общей папки IXP$ на сервере позволяют изменять каталоги и файлы (например, bat-скрипты), что позволяет выполнять код в контексте NT AUTHORITY\SYSTEM на целевом сервере и клиентах.

CVE-2025-8031В Firefox обнаружена уязвимость, связанная с некорректной обработкой URL в отчетах CSP, что потенциально может привести к утечке учетных данных HTTP Basic Authentication. Эта уязвимость затрагивает Firefox версии ниже 141, Firefox ESR версии ниже 128.13 и 140.1, а также Thunderbird версии ниже 141, 128.13 и 140.1 [1]. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1971719 - [2] https://www.mozilla.org/security/advisories/mfsa2025-56/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-58/ - [4] https://www.mozilla.org/security/advisories/mfsa2025-59/ - [5] https://www.mozilla.org/security/advisories/mfsa2025-61/

CVE-2025-6179Пропуски в управлении расширениями в Google ChromeOS 16181.27.0 на управляемых устройствах Chrome позволяет локально злоумышленнику отключать расширения и получать доступ к режиму разработчика, включая загрузку дополнительных расширений с помощью уязвимостей с помощью инструментов ExtHang3r и ExtPrint3r.

CVE-2025-60262Проблема в беспроводном контроллере H3C M102G HM1A0V200R010 и беспроводной точке доступа BA1500L SWBA1A0V100R006, существует уязвимость неправильной конфигурации в отношении vsftpd. Благодаря этой уязвимости все файлы, загруженные анонимно через протокол FTP, автоматически принадлежат пользователю root, и удаленные злоумышленники могут получить контроль на уровне корней над устройствами.

CVE-2025-54530В JetBrains TeamCity до 2025 года.07 привилегии эскалация была возможна из-за неправильных разрешений каталогов

CVE-2025-30465Проблема с разрешениями была решена за счет улучшенной проверки. Эта проблема устранена в macOS Ventura 13.7.5, iPadOS 17.7.6, macOS Sequoia 15.4, macOS Sonoma 14.7.5. С помощью ярлыка может быть возможен доступ к файлам, которые обычно недоступны приложению Shortcuts.

CVE-2025-27682Vasion Print (прежнее название PrinterLogic) до Virtual Appliance Host 1.0.735 Application 20.0.1330 позволяет использовать небезопасные права доступа к журналам V-2022-005.

CVE-2025-27677Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Приложение 20.0.1923 позволяет использовать символические ссылки для взаимодействия с не привилегированными файлами V-2022-002.

CVE-2025-25535Манипуляция HTTP-ответами в SCRIPT CASE v.1.0.002 Build7 позволяет удаленному злоумышленнику повышать привилегии через специально подготовленный запрос.

CVE-2025-24238Проблема логики была решена с помощью улучшенных проверок. Эта проблема исправлена в macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 и iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Программа может иметь возможность получить повышенные привилегии.

CVE-2025-24207Проблема с правами доступа была устранена с дополнительными ограничениями. Эта проблема исправлена в macOS Ventura 13.7.5, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Приложение может иметь возможность включить функции хранения iCloud без согласия пользователя.

CVE-2025-24195Переполнение целого числа было решено с помощью улучшенной проверки входных данных. Эта проблема исправлена в macOS Ventura 13.7.5, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Пользователь может получить возможность повышения привилегий.