CWE-277 · Небезопасные наследуемые разрешения

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-277ВариантЧерновик

Абстракция: Вариант

Статус: Черновик

Источник ↗

Небезопасные наследуемые разрешения

Продукт задаёт набор небезопасных разрешений, которые наследуются объектами, создаваемыми программой.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-36540Небезопасные разрешения в external-secrets v0.9.16 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.

CVE-2024-36539Небезопасные разрешения в contour v1.28.3 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.

CVE-2026-7891VerySecureApp, созданный DIVD с использованием Mendix Studio Pro 11.8.0 Beta, позволяет непреднамеренно обнажать данные из-за неправильной конфигурации авторизации. VerySecureApp позволяет анонимным пользователям MyFirstModule с анонимной ролью пользователя получить доступ к всем сохраненным записям, даже если на этой роли явно не настраиваются никакие права доступа. Анонимные пользователи обязаны сделать Mendix Entity общедоступной. Все версии Mendix Studio Pro до 11.8.0 Бета молча заставляют анонимную роль пользователя следовать правилам наследования пользователей, не упоминая об этом явно в документации.

CVE-2024-6605Firefox для Android разрешал немедленное взаимодействие с запросами разрешений. Это можно было использовать для tapjacking. Эта уязвимость затрагивает Firefox < 128.

CVE-2024-36542Небезопасные разрешения в kuma v2.7.0 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.

CVE-2024-27834Проблема была решена с помощью улучшенных проверок. Эта проблема исправлена в iOS 17.5 и iPadOS 17.5, tvOS 17.5, Safari 17.5, watchOS 10.5, macOS Sonoma 14.5. Злоумышленник с произвольными возможностями чтения и записи может обойти аутентификацию указателя.

CVE-2023-27842Уязвимость небезопасных разрешений обнаружена в Extplorer File manager eXtplorer v.2.1.15, что позволяет удаленному злоумышленнику выполнять произвольный код через компонент index.php.

CVE-2024-34329Небезопасные разрешения в Entrust Datacard XPS Card Printer Driver 8.5 и более ранних версиях без патча dxp1-patch-E24-004 позволяют не прошедшим проверку подлинности злоумышленникам выполнять произвольный код как SYSTEM через специально созданную DLL-полезную нагрузку.

CVE-2024-29417Уязвимость небезопасных разрешений в e-trust Horacius 1.0, 1.1 и 1.2 позволяет локальному злоумышленнику повышать привилегии через функцию сброса пароля.

CVE-2025-58437Coder позволяет организациям предоставлять удаленные среды разработки через Terraform. В версиях 2.22.0-2.24.3, 2.25.0 и 2.25.1 Coder может быть скомпрометирован путем небезопасной обработки сеансов в готовых рабочих помещениях. Coder автоматически генерирует токен сеанса для пользователя, когда рабочее пространство запускается. Он автоматически выставляется через coder_workspace_owner.session_token. Предварительно построенные рабочие места изначально принадлежат встроенному пользователю системы престройки. Когда заявлено предварительно построенное рабочее пространство, для пользователя генерируется новый токен сеанса, который претендовал на рабочее пространство, но предыдущий токен сессии для пользователя prebuilds не истек. Любые шаблоны рабочего пространства Coder, которые сохраняют этот автоматически сгенерированный токен сессии, потенциально подвержены влиянии. Это исправлено в версиях 2.24.4 и 2.25.2.

CVE-2026-30266Уязвимость небезопасных разрешений в DeepCool DeepCreative v.1.2.12 и до этого позволяет локальному злоумышленнику выполнять произвольный код через созданный файл

CVE-2024-27822Проблема логики была решена с помощью улучшенных ограничений. Эта проблема исправлена в macOS Sonoma 14.5. Приложение может получить корневые привилегии.

CVE-2024-23233Эта проблема была решена с помощью улучшенных проверок. Эта проблема исправлена в macOS Sonoma 14.4. Права и разрешения конфиденциальности, предоставленные этому приложению, могут быть использованы злонамеренным приложением.

CVE-2024-21835Небезопасные унаследованные разрешения в некотором программном обеспечении Intel(R) XTU до версии 7.14.0.15 могут позволить аутентифицированному пользователю потенциально получить повышение привилегий через локальный доступ.

CVE-2023-45736Небезопасные унаследованные разрешения в программном обеспечении Intel(R) Power Gadget для Windows всех версий могут позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.