V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-288БазаНеполный
Абстракция: База
Статус: Неполный
Источник ↗

Обход аутентификации через альтернативный путь или канал

Продукт требует аутентификации, однако имеет альтернативный путь или канал, не требующий аутентификации.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-127
Индексирование каталогов
CAPEC-665
Эксплуатация уязвимостей защиты Thunderbolt

Связанные уязвимости

CVE-2026-20079Выполнение произвольного кода в Cisco Secure Firewall Management Center
CVE-2025-64121Обход аутентификации С Использованием уязвимости альтернативного пути или канала в контроллере Nuation Energy Multi-Stack (MSC) позволяет обходить аутентификации.Эта проблема затрагивает контроллер Multi-Stack (MSC): от 2.3.8 до 2.5.1.
CVE-2024-2973Обход аутентификации с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или conductor, работающем с резервным пиром, позволяет злоумышленнику в сети обойти аутентификацию и получить полный контроль над устройством. Эта уязвимость затрагивает только маршрутизаторы или conductors, работающие в высокодоступных резервных конфигурациях. Эта проблема не затрагивает другие продукты или платформы Juniper Networks. Эта проблема затрагивает: Session Smart Router: * Все версии до 5.6.15, * с 6.0 до 6.1.9-lts, * с 6.2 до 6.2.5-sts. Session Smart Conductor: * Все версии до 5.6.15, * с 6.0 до 6.1.9-lts, * с 6.2 до 6.2.5-sts. WAN Assurance Router: * Версии 6.0 до 6.1.9-lts, * Версии 6.2 до 6.2.5-sts.
CVE-2024-2013В сервере FOXMAN-UN/UNEM / компоненте API Gateway существует уязвимость обхода аутентификации, которая, в случае эксплуатации, позволяет злоумышленникам без какого-либо доступа взаимодействовать со службами и поверхностью атаки после аутентификации.
CVE-2024-1709ConnectWise ScreenConnect 23.9.7 и более ранние версии подвержены уязвимости обхода аутентификации с использованием альтернативного пути или канала, которая может предоставить злоумышленнику прямой доступ к конфиденциальной информации или критически важным системам.
CVE-2024-10081CodeChecker — это инструмент анализа, база данных дефектов и расширение просмотра для Clang Static Analyzer и Clang Tidy. Обход аутентификации происходит, когда URL-адрес API заканчивается на Authentication. Этот обход предоставляет права суперпользователя ко всем конечным точкам API, кроме Authentication. Эти конечные точки включают возможность добавления, редактирования и удаления продуктов, среди прочего. Все конечные точки, кроме /Authentication, подвержены этой уязвимости. Эта проблема затрагивает CodeChecker: до версии 6.24.1 включительно.
CVE-2026-10523Уязвимость Authentication Bypass (CWE-288) в Ivanti Sentry до версий R10.5.2, R10.6.2 и R10.7.1 позволяет удаленному злоумышленнику без аутентификации создавать произвольные административные учетные записи и получать полный административный доступ
CVE-2024-6684Обход аутентификации с использованием альтернативного пути или канала в GST Electronics inohom Nova Panel N7 позволяет обойти аутентификацию. Эта проблема затрагивает inohom Nova Panel N7: до 1.9.9.6. ПРИМЕЧАНИЕ: С поставщиком связались и узнали, что продукт не поддерживается.
CVE-2026-7567Плагин Temporary Login для WordPress уязвим для обхода аутентификации в версиях до 1.0.0 включительных. Это связано с неправильной валидацией ввода в функции may_login_temporary_user(), которая не проверяет, что параметр GET «temp-login-token» является скалярной строкой перед его обработкой. Когда параметр поставляется в виде массива, проверка пустых () PHP обходит и sanitize_key() возвращает пустую строку, которая затем передается как meta_value, чтобы get_users(). WordPress игнорирует пустое meta_value и возвращает всем пользователям, соответствующим meta_key '_temporary_login_token', что позволяет аутентифицироваться без действительного токена. Это позволяет неаутентифицированным злоумышленникам аутентифицироваться как любой активный временный пользователь входа в систему, отправив один созданный запрос GET.
CVE-2026-7458Проверка пользователя плагином PickPlugins для WordPress уязвима для обхода аутентификации во всех версиях до 2,06.46. Это связано с использованием свободного оператора сравнения PHP для проверки OTP-кодов в функции "user_verification_form_wrap_process_otpLgin". Это позволяет неаутентифицированным злоумышленникам войти в систему как любому пользователю с проверенным адресом электронной почты, например, администратором, отправив «истинное» значение OTP.
CVE-2026-6771Обход безопасности в Firefox
CVE-2026-6768Смягчение обхода в компоненте Сети: Cookies. Эта уязвимость была исправлена в Firefox 150 и Thunderbird 150.
CVE-2026-6760Смягчение обхода в Сети: компонент Cookies. Эта уязвимость была исправлена в Firefox 150 и Thunderbird 150.
CVE-2026-49764Неаутентированная сломанная аутентификация в регистрацииМагия <= версии 6.0.8.6.
CVE-2026-4700Обход безопасности в Mozilla Firefox