V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-283БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Непроверяемое владение

Продукт не проверяет должным образом, что критически важный ресурс принадлежит надлежащему субъекту.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2024-27903Плагины OpenVPN в Windows с OpenVPN 2.6.9 и более ранними версиями могли загружаться из любого каталога, что позволяет злоумышленнику загрузить произвольный плагин, который можно использовать для взаимодействия с привилегированной интерактивной службой OpenVPN.
CVE-2026-26016Wings - это планировка управления сервером для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. До версии 1.12.1 недостающая проверка авторизации в нескольких контроллерах позволяет любому пользователю, имеющим доступ к секретному токену узлов, получать информацию о любом сервере в экземпляре птеродактиля, даже если этот сервер связан с другим узлом. Эта проблема связана с отсутствующей логикой для проверки того, что узл, запрашивающий данные сервера, является тем же узлом, с каким связан сервер. Любой аутентифицированный узел Wings может извлекать скрипты установки сервера (потенциально содержащие секретные значения) и манипулировать состоянием установки серверов, принадлежащих другим узлам. Узлы Wings могут также манипулировать состоянием передачи серверов, принадлежащих другим узлам. Эта уязвимость требует, чтобы пользователь приобрел секретный токен доступа для узла. Если пользователь не получит доступ к токену секретного доступа Wings, он не сможет получить доступ к любой из этих уязвимых конечных точек, поскольку каждая конечная точка требует действительного токена доступа к узлу. Один скомпрометированный демонический токен Wings node (хранится в открытом тексте в `/etc/pterodactyl/config.yml`) предоставляет доступ к конфиденциальным данным конфигурации каждого сервера на панели, а не только к серверам, к которым имеет доступ узел. Злоумышленник может использовать эту информацию для перемещения через систему, отправки чрезмерных уведомлений, уничтожения данных сервера на других узлах и иным образом экстрагирования секретов, к которым он не должен иметь доступа только с помощью токена узла. Кроме того, запуск ложного успеха передачи заставляет панель удалять сервер из исходного узла, что приводит к постоянной потере данных. Пользователи должны обновиться до версии 1.12.1, чтобы получить исправление.
CVE-2026-29788TSPortal - это внешняя платформа Фонда WikiTide, используемая командой Trust and Safety для управления отчетами, расследованиями, обращениями и прозрачностью. До версии 30 преобразование пустых строк в null позволяет маскировать отчеты DPA под подлинные отчеты об удалении самоуничтожения. Этот вопрос был исправлен в версии 30.
CVE-2021-24501В теме Workreap WordPress до версии 2.2.2 отсутствовали проверки авторизации для нескольких AJAX-действий, чтобы убедиться, что пользователь авторизован для выполнения критических операций, таких как изменение или удаление объектов. Это позволяло вошедшему в систему пользователю изменять или удалять объекты, принадлежащие другим пользователям на сайте.
CVE-2021-24500Несколько AJAX-действий, доступных в теме Workreap WordPress до версии 2.2.2, не имели защиты CSRF, а также допускали небезопасные прямые ссылки на объекты, которые не проверялись. Это позволяет злоумышленнику обманом заставить вошедшего в систему пользователя отправить POST-запрос на уязвимый сайт, потенциально изменяя или удаляя произвольные объекты на целевом сайте.
CVE-2025-43882Dell ThinOS 10, версии до 2508_10.0127, содержит уязвимость Unverified Ownership. Локальный злоумышленник с низкими привилегиями потенциально может воспользоваться этой уязвимостью, что приведет к несанкционированному доступу [1]. Источники: - [1] https://www.dell.com/support/kbdoc/en-us/000359619/dsa-2025-331
CVE-2025-47940TYPO3 - это открытая система управления веб-контентом на основе PHP. В версии 10.0.0 и до версий 10.4.50 ELTS, 11.5.44 ELTS, 12.4.31 LTS и 13.4.12 LTS пользователи с правами администратора без привилегий системного администратора могут повысить свои привилегии и получить доступ системного администратора. Для эксплуатации этой уязвимости требуется действующая учетная запись администратора. Пользователям рекомендуется обновиться до TYPO3 версий 10.4.50 ELTS, 11.5.44 ELTS, 12.4.31 LTS или 13.4.12 LTS, чтобы исправить проблему [1]. Источники: - [1] https://github.com/TYPO3/typo3/security/advisories/GHSA-6frx-j292-c844 - [2] https://typo3.org/security/advisory/typo3-core-sa-2025-016
CVE-2025-1007В OpenVSX версии от v0.9.0 до v0.20.0 API /user/namespace/{namespace}/details позволяет пользователю редактировать все подробности пространства имен, даже если пользователь не является владельцем или участником пространства имен. Подробности включают: имя, описание, веб-сайт, ссылку на поддержку и ссылки на социальные медиа. Те же проблемы существовали в /user/namespace/{namespace}/details/logo и позволяли пользователю изменить логотип.
CVE-2026-44707Chatwoot - это набор для привлечения клиентов. С 2.14.0 до 4.13.0 в потоке аутентификации Chatwoot существовала уязвимость до поглощения (Pre-ATO). Поскольку подтверждение по электронной почте не было введено до того, как учетная запись стала пригодной для использования, злоумышленник мог предварительно зарегистрировать адрес электронной почты, которым они не владели, и установить пароль. Если законный владелец этого письма позже вошел в Chatwoot, используя Google OAuth (или другого провайдера OmniAuth), поток OAuth молча подтвердил существующую учетную запись, не очистив предварительно установленные учетные данные злоумышленника. Затем злоумышленник мог продолжать входить в систему с паролем, который они первоначально выбрали, и получить доступ к любым данным, которые жертва впоследствии ввела в панель управления, включая PII, API-ключи и другую конфиденциальную информацию. Эта уязвимость фиксируется в 4.13.0.
CVE-2026-44562Open WebUI - это самостоячная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.0 POST /api/v1/models/import endpoint позволяет пользователям с разрешением workspace.models_import перезаписать любую существующую модель в базе данных, независимо от владения. Когда идентификатор импортируемой модели соответствует существующей модели, конечная точка сливается с полезной нагрузкой злоумышленника по сравнению с существующими данными модели и записывает ее в базу данных без подтверждения права собственности или доступа. Кроме того, filter_alowed_access_grants никогда не называется, минуя ограничения на предоставление доступа, введенные на всех других конечных точках мутаций модели. Эта уязвимость фиксируется в 0.9.0.
CVE-2022-29220github-action-merge-dependabot — это действие, которое автоматически утверждает и объединяет запросы на вытягивание dependabot (PR). В версиях, предшествующих 3.2.0, github-action-merge-dependabot не проверяет, подтвержден ли коммит, созданный dependabot, правильным ключом GPG. Есть только проверка, установлен ли актер на `dependabot[bot]`, чтобы определить, является ли PR законным PR. Теоретически, владелец, казалось бы, действительного и законного действия в конвейере может проверить, создан ли PR dependabot, и имеет ли его собственное действие достаточно разрешений для изменения PR в конвейере. Если это так, они могут изменить PR, добавив второй, казалось бы, действительный и законный коммит в PR, поскольку они могут произвольно установить имя пользователя и адрес электронной почты для коммитов в git. Поскольку бот проверяет только, является ли актер действительным, он пропустит вредоносные изменения и автоматически объединит PR, не замеченный сопровождающими проекта. Вероятно, невозможно будет определить, откуда взялся вредоносный коммит, поскольку он будет указывать только `dependabot[bot]` и соответствующий адрес электронной почты. Версия 3.2.0 содержит исправление для этой проблемы.
CVE-2015-3147daemon/abrt-handle-upload.in в Automatic Bug Reporting Tool (ABRT) при перемещении отчетов о проблемах из /var/spool/abrt-upload позволяет локальным пользователям записывать в произвольные файлы или, возможно, оказывать другое неуказанное воздействие через атаку с использованием символических ссылок на (1) /var/spool/abrt или (2) /var/tmp/abrt.
CVE-2020-8554Сервер API Kubernetes во всех версиях позволяет злоумышленнику, который может создать службу ClusterIP и установить поле spec.externalIPs, перехватывать трафик на этот IP-адрес. Кроме того, злоумышленник, который может исправить статус (что считается привилегированной операцией и обычно не должно предоставляться пользователям) службы LoadBalancer, может установить status.loadBalancer.ingress.ip с аналогичным эффектом.
CVE-2026-4269Отсутствующая проверка собственности S3 в наборе инструментов Bedrock AgentCore Starter перед версией v0.1.13 может позволить удаленному актеру вводить код во время процесса сборки, что приводит к исполнению кода в время выполнения AgentCore. Эта проблема затрагивает только пользователей Bedrock AgentCore Starter Toolkit до версии v0.1.13, которые строят или создавали Toolkit после 24 сентября 2025 года. Любые пользователи версии >=v0.1.13 и любые пользователи предыдущих версий, которые создали набор инструментов до 24 сентября 2025 года, не затронуты. Чтобы исправить эту проблему, клиенты должны перейти на версию v0.1.13.
CVE-2025-9822Пользователь с правами администратора может изменить конфигурацию приложения Mautic и извлечь секреты, которые обычно недоступны. Источники: - [1] https://github.com/mautic/mautic/security/advisories/GHSA-438m-6mhw-hq5w