V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-280БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Некорректная обработка недостаточных разрешений или привилегий

Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда привилегий недостаточно для доступа к ресурсам или функциям в соответствии с установленными разрешениями. Это может вынуждать продукт следовать неожиданным путям выполнения кода, оставляя его в недопустимом состоянии.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2025-46066Проблема в Automa Director v.25.2.0 позволяет удаленному злоумышленнику нагнетать привилегии
CVE-2025-6573Программное обеспечение ядра, установленное и работающее внутри недоверенной/сложной среды выполнения (REE), может раскрыть информацию из доверенной среды выполнения (TEE). Эта уязвимость затрагивает графические драйверы Imagination Technologies. Источники: - [1] https://www.imaginationtech.com/gpu-driver-vulnerabilities/
CVE-2024-24116Проблема в Ruijie RG-NBS2009G-P RGOS версии 10.4(1)P2 Release(9736) позволяет удаленному злоумышленнику получить привилегии через систему/config_menu.htm.
CVE-2024-46874Ruijie Reyee OS версий 2.206.x вплоть до 2.320.x, но не включая ее, может позволить MQTT-клиентам, подключающимся с учетными данными устройства, отправлять сообщения в некоторые темы. Злоумышленники с учетными данными устройства могут отправлять команды на другие устройства от имени облака Ruijie.
CVE-2026-40371Неправильное обращение с недостаточными разрешениями или привилегиями в Microsoft Dynamics 365 (локальных) позволяет авторизованному злоумышленнику повысить привилегии над сетью.
CVE-2025-8109Установленное и запущенное от имени непривилегированного пользователя программное обеспечение может выполнять системные вызовы ptrace для записи в память GPU, доступную только для чтения [1]. Уязвимость связана с отсутствием надлежащей проверки границ при выполнении определенных системных вызовов GPU. Источники: - [1] https://www.imaginationtech.com/gpu-driver-vulnerabilities/
CVE-2025-29826Некорректная обработка недостаточных разрешений или привилегий в Microsoft Dataverse позволяет авторизованному злоумышленнику повысить привилегии через сеть [1]. Источники: - [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29826
CVE-2025-27025Целевое устройство обнажает услугу на определенном TCP-порте с сконфигурированным Конечную точку. Доступ к этой конечной точке предоставляется с помощью базовой аутентификации Метод. Конечную точку принимает также метод ПУТ, и это возможно записать файлы в файловой системе целевого устройства. Файлы пишутся как корневые. С помощью Postman можно выполнить атаку Directory Traversal и записывать файлы в любое место расположения файловой системы устройства. Как и метод PUT, можно использовать тот же механизм для чтения любого файла из файловой системы с помощью GET Метод.
CVE-2025-22256Уязвимость Fortinet FortiPAM версий с 1.4.0 по 1.4.1, 1.3.0, 1.2.0, с 1.1.0 по 1.1.2 и с 1.0.0 по 1.0.3, а также FortiSRA версий с 1.4.0 по 1.4.1 позволяет злоумышленнику получить ненадлежащий доступ к системе посредством специально сформированных HTTP-запросов из-за неправильной обработки недостаточных разрешений или привилегий [1]. Источники: - [1] https://fortiguard.fortinet.com/psirt/FG-IR-25-008
CVE-2024-6660Плагин BookingPress – Appointment Booking Calendar Plugin and Online Scheduling Plugin для WordPress уязвим для несанкционированного изменения данных, что может привести к повышению привилегий из-за отсутствия проверки возможностей для функции bookingpress_import_data_continue_process_func во всех версиях до 1.1.5 включительно. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше обновлять произвольные параметры на сайте WordPress и загружать произвольные файлы. Это можно использовать для обновления роли по умолчанию для регистрации на администратора и включения регистрации пользователей для злоумышленников, чтобы получить административный доступ к уязвимому сайту.
CVE-2024-36451В модуле ajaxterm в Webmin версий до 2.003 существует уязвимость, связанная с неправильной обработкой недостаточных разрешений или привилегий. Если эта уязвимость будет использована, сеанс консоли может быть перехвачен неавторизованным пользователем. В результате данные в системе могут быть запрошены, веб-страница может быть изменена или сервер может быть навсегда остановлен.
CVE-2024-25108Pixelfed - это платформа для обмена фотографиями с открытым исходным кодом. При обработке запросов авторизация проверялась неправильно и недостаточно, что позволяло злоумышленникам получать доступ к гораздо большему функционалу, чем предполагалось пользователям, включая административный и модераторский функционал сервера Pixelfed. Эта уязвимость затрагивает каждую версию Pixelfed между v0.10.4 и v0.11.9 включительно. Существует доказательство концепции этой уязвимости. Эта уязвимость затрагивает каждого локального пользователя сервера Pixelfed и потенциально может повлиять на способность серверов к федерации. Для настройки условий, позволяющих использовать уязвимость, требуется некоторое взаимодействие с пользователем, но злоумышленник может проводить эту атаку с задержкой во времени, когда активное взаимодействие с пользователем не требуется. Эта уязвимость была устранена в версии 0.11.11. Пользователям рекомендуется обновиться. В настоящее время обходные пути для этой уязвимости отсутствуют.
CVE-2024-22078Проблема была обнаружена в Elspec G5 digital fault recorder версий 1.1.4.15 и более ранних. Повышение привилегий может произойти через доступные для записи всеми файлы. Скрипт сетевой конфигурации имеет слабые разрешения файловой системы. Это приводит к доступу на запись для всех аутентифицированных пользователей и возможности повышения привилегий от пользовательских до административных.
CVE-2023-4047Ошибка в вычислении задержки уведомлений всплывающего окна может позволить злоумышленнику обмануть пользователя, чтобы тот наделил его разрешениями. Эта уязвимость затрагивает Firefox < 116, Firefox ESR < 102.14 и Firefox ESR < 115.1.
CVE-2023-32207Отсутствие задержки во всплывающих уведомлениях могло позволить злоумышленнику обманом заставить пользователя предоставить разрешения. Эта уязвимость затрагивает Firefox < 113, Firefox ESR < 102.11 и Thunderbird < 102.11.