CWE-277ВариантЧерновик
Небезопасные наследуемые разрешения
Продукт задаёт набор небезопасных разрешений, которые наследуются объектами, создаваемыми программой.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-36540Небезопасные разрешения в external-secrets v0.9.16 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.
CVE-2024-36539Небезопасные разрешения в contour v1.28.3 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.
CVE-2024-6605Firefox для Android разрешал немедленное взаимодействие с запросами разрешений. Это можно было использовать для tapjacking. Эта уязвимость затрагивает Firefox < 128.
CVE-2024-36542Небезопасные разрешения в kuma v2.7.0 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.
CVE-2024-27834Проблема была решена с помощью улучшенных проверок. Эта проблема исправлена в iOS 17.5 и iPadOS 17.5, tvOS 17.5, Safari 17.5, watchOS 10.5, macOS Sonoma 14.5. Злоумышленник с произвольными возможностями чтения и записи может обойти аутентификацию указателя.
CVE-2023-27842Уязвимость небезопасных разрешений обнаружена в Extplorer File manager eXtplorer v.2.1.15, что позволяет удаленному злоумышленнику выполнять произвольный код через компонент index.php.
CVE-2024-34329Небезопасные разрешения в Entrust Datacard XPS Card Printer Driver 8.5 и более ранних версиях без патча dxp1-patch-E24-004 позволяют не прошедшим проверку подлинности злоумышленникам выполнять произвольный код как SYSTEM через специально созданную DLL-полезную нагрузку.
CVE-2024-29417Уязвимость небезопасных разрешений в e-trust Horacius 1.0, 1.1 и 1.2 позволяет локальному злоумышленнику повышать привилегии через функцию сброса пароля.
CVE-2025-58437Coder allows organizations to provision remote development environments via Terraform. In versions 2.22.0 through 2.24.3, 2.25.0 and 2.25.1, Coder can be compromised through insecure session handling in prebuilt workspaces. Coder automatically generates a session token for a user when a workspace is started. It is automatically exposed via coder_workspace_owner.session_token. Prebuilt workspaces are initially owned by a built-in prebuilds system user. When a prebuilt workspace is claimed, a new session token is generated for the user that claimed the workspace, but the previous session token for the prebuilds user was not expired. Any Coder workspace templates that persist this automatically generated session token are potentially impacted. This is fixed in versions 2.24.4 and 2.25.2.
CVE-2024-27822Проблема логики была решена с помощью улучшенных ограничений. Эта проблема исправлена в macOS Sonoma 14.5. Приложение может получить корневые привилегии.
CVE-2024-23233Эта проблема была решена с помощью улучшенных проверок. Эта проблема исправлена в macOS Sonoma 14.4. Права и разрешения конфиденциальности, предоставленные этому приложению, могут быть использованы злонамеренным приложением.
CVE-2024-21835Небезопасные унаследованные разрешения в некотором программном обеспечении Intel(R) XTU до версии 7.14.0.15 могут позволить аутентифицированному пользователю потенциально получить повышение привилегий через локальный доступ.
CVE-2023-45736Небезопасные унаследованные разрешения в программном обеспечении Intel(R) Power Gadget для Windows всех версий могут позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.
CVE-2023-39230Небезопасные унаследованные разрешения в некотором программном обеспечении Intel Rapid Storage Technology до версии 16.8.5.1014.9 могут позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.
CVE-2023-38541Небезопасные унаследованные разрешения в некоторых драйверах фильтра событий Intel HID для Windows 10 для некоторых установщиков программного обеспечения ноутбуков Intel NUC до версии 2.2.2.1 могут позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.