CWE-286 · Некорректное управление пользователями

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-286КлассНеполный

Абстракция: Класс

Статус: Неполный

Источник ↗

Некорректное управление пользователями

Продукт не управляет должным образом пользователем в своей среде.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-26689Проблема, обнаруженная в CS-Cart MultiVendor 4.16.1, позволяет злоумышленникам изменять профили произвольных учетных записей пользователей через специально созданный POST-запрос.

CVE-2022-32260В SINEMA Remote Connect Server (все версии < V3.2 SP1) была обнаружена уязвимость. Затронутое приложение создает временные учетные данные пользователя для пользователей UMC (компонент управления пользователями). Злоумышленник может использовать эти временные учетные данные для обхода аутентификации в определенных сценариях.

CVE-2024-48853В ASPECT обнаружена уязвимость повышения привилегий, которая может предоставить злоумышленнику root-доступ к серверу при входе в систему под пользователем "non" root ASPECT. Эта проблема затрагивает ASPECT-Enterprise: до 3.08.03; NEXUS Series: до 3.08.03; MATRIX Series: до 3.08.03 [1]. Источники: - [1] https://search.abb.com/library/Download.aspx?DocumentID=9AKK108471A0021&LanguageCode=en&DocumentPartId=pdf&Action=Launch

CVE-2024-52359IBM Concert Software версий 1.0.0, 1.0.1, 1.0.2 и 1.0.2.1 может позволить аутентифицированному пользователю выполнять неавторизованные действия, которые должны быть зарезервированы для администратора, из-за неправильных средств контроля доступа.

CVE-2023-3907Уязвимость повышения привилегий в GitLab EE затрагивает все версии от 16.0 до 16.4.4, 16.5 до 16.5.4 и 16.6 до 16.6.2. Она позволяет участнику проекта с ролью Maintainer использовать токен доступа к проекту для повышения своей роли до Owner с помощью API поворота токена [1]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/418878 - [2] https://hackerone.com/reports/2058934

CVE-2021-21553Dell PowerScale OneFS версии 8.1.0-9.1.0 содержат уязвимость неправильного управления пользователями. При определенных условиях это может позволить пользователю CompAdmin повысить привилегии и выйти из режима соответствия. Это критическая уязвимость, и Dell рекомендует обновиться как можно скорее.

CVE-2026-35638OpenClaw до 2026.3.22 содержит уязвимость эскалации привилегий в пользовательском интерфейсе Control, которая позволяет неаутентифицированным сеансам сохранять самопровозглашенные привилегированные области без проверки личности устройства. Злоумышленники могут использовать путь без устройства, позволяющего в механизме доверенного прокси, поддерживать повышенные разрешения, объявляя произвольные прицелы, минуя требования к идентификации устройства.

CVE-2025-7972Проблема безопасности существует в сетевом Браузере FactoryTalk Linx. Модифицируя процесс.env.NODE_ENV до «разработки», злоумышленник может отключить проверку токена FTSP. Этот обход позволяет создавать, обновлять и удалять драйверы FTLinx.

CVE-2024-28020Уязвимость повторного использования имени пользователя/пароля существует в приложении FOXMAN-UN/UNEM и управлении сервером. В случае эксплуатации злоумышленник с высокими привилегиями может использовать пароли и информацию для входа в систему с помощью сложных процедур для расширения доступа на сервере и других службах.

CVE-2024-58105Уязвимость в Trend Micro Apex One Security Agent Плагине Менеджер Пользовательского Интерфейса может позволить локальному злоумышленнику обойти существующую безопасность и выполнить произвольный код на затронутых установках. Этот CVE устраняет дополнительный обход, не охватываемый в CVE-2024-58104. Обратите внимание: злоумышленник должен сначала получить возможность выполнять код с низкими привилегиями на целевой системе, чтобы воспользоваться этой уязвимостью.

CVE-2023-25519Встроенное ПО NVIDIA ConnectX Host для модуля обработки данных BlueField содержит уязвимость, из-за которой ограниченный хост может вызвать некорректную ошибку управления пользователями. Успешная эксплуатация этой уязвимости может привести к повышению привилегий.

CVE-2023-0857Непреднамеренное изменение настроек во время первоначальной регистрации системных администраторов, использующих протоколы управления. Затронутые Office / Small Office Multifunction Printers and Laser Printers(*) могут позволить злоумышленнику в сегменте сети вызвать несанкционированный доступ к продукту. *:Satera LBP660C Series/LBP620C Series/MF740C Series/MF640C Series firmware Ver.11.04 и более ранние версии, продаваемые в Японии. Color imageCLASS LBP660C Series/LBP 620C Series/X LBP1127C/MF740C Series/MF640C Series/X MF1127C firmware Ver.11.04 и более ранние версии, продаваемые в США. i-SENSYS LBP660C Series/LBP620C Series/MF740C Series/MF640C Series, C1127P, C1127iF, C1127i firmware Ver.11.04 и более ранние версии, продаваемые в Европе.

CVE-2022-45857Неправильное управление пользователями [CWE-286] в FortiManager версии 6.4.6 и ниже. Компонент создания VDOM может позволить злоумышленнику получить доступ к FortiGate без пароля через вновь созданные VDOM после удаления учетной записи super_admin.

CVE-2024-46671Уязвимость Incorrect User Management [CWE-286] в FortiWeb версии 7.6.2 и ниже, версии 7.4.6 и ниже, версии 7.2.10 и ниже, версии 7.0.11 и ниже может позволить аутентифицированному злоумышленнику с правами администратора, имеющего хотя бы права на чтение, выполнять операции на панели управления других администраторов посредством специально сформированных запросов [1]. Источники: - [1] https://fortiguard.fortinet.com/psirt/FG-IR-24-184

CVE-2024-27269IBM QRadar SIEM 7.5 может позволить привилегированному пользователю настроить управление пользователями, что приведет к раскрытию непреднамеренной конфиденциальной информации между клиентами. IBM X-Force ID: 284575.