CWE-278 · Небезопасные сохраняемые унаследованные разрешения

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-278ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Источник ↗

Небезопасные сохраняемые унаследованные разрешения

Продукт наследует набор небезопасных разрешений для объекта, например при копировании из архивного файла, без уведомления пользователя или его участия.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-2947IBM i 7.6 содержит уязвимость повышения привилегий из-за некорректной замены профиля в команде ОС. Злоумышленник может использовать эту команду для повышения привилегий и получения root-доступа к операционной системе. Источники: - [1] https://www.ibm.com/support/pages/node/7231025

CVE-2024-37769Небезопасные разрешения в 14Finger v1.1 позволяют злоумышленникам повысить свои привилегии с обычного пользователя до администратора через специально созданный POST-запрос.

CVE-2024-36538Небезопасные разрешения в chaos-mesh v2.6.3 позволяют злоумышленникам получать доступ к конфиденциальным данным и повышать привилегии, получая токен учетной записи службы.

CVE-2026-6265Небезопасная сохраненная наследуемая уязвимость разрешений в Cerberus FTP Server в Windows позволяет Privilege Escalation.Эта проблема решена в Cerberus FTP Server: 2026.1

CVE-2023-38497Cargo загружает зависимости проекта Rust и компилирует проект. Cargo до версии 0.72.2, который был упакован с Rust до версии 1.71.1, не учитывал umask при извлечении архивов crate на системах, подобных UNIX. Если пользователь загрузил crate, содержащий файлы, доступные для записи любым локальным пользователем, другой локальный пользователь мог бы использовать это, чтобы изменить исходный код, скомпилированный и выполненный текущим пользователем. Чтобы предотвратить использование существующих кэшированных извлечений, бинарная версия Cargo 0.72.2, включенная в Rust 1.71.1 или более поздние версии, автоматически очистит кэши, сгенерированные более старыми версиями Cargo. В качестве обходного пути, настройте систему, чтобы предотвратить доступ других локальных пользователей к каталогу Cargo, обычно расположенный в `~/.cargo`.

CVE-2024-38531Nix — это менеджер пакетов для Linux и других Unix-систем, который делает управление пакетами надежным и воспроизводимым. Процесс сборки имеет доступ к каталогу сборки и может изменять разрешения для него. После создания исполняемого файла setuid в общедоступном месте злонамеренный локальный пользователь может принять разрешения рабочего процесса Nix и перехватить все будущие сборки. Эта проблема была исправлена в версиях 2.23.1, 2.22.2, 2.21.3, 2.20.7, 2.19.5 и 2.18.4.