CWE-305 · Обход аутентификации через первичную слабость

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-305БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Обход аутентификации через первичную слабость

Алгоритм аутентификации корректен, однако реализованный механизм может быть обойдён вследствие отдельной слабости, являющейся первичной по отношению к ошибке аутентификации.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-4320Обход аутентификации по первичной слабости, Слабый механизм восстановления пароля для забытой уязвимости пароля в Birbirsoft Software and Technology Solutions Sufirmam позволяет обходить аутентификацию, эксплойтацию по восстановлению пароля. Эта проблема затрагивает Sufirmam: до 23012026. ПРИМЕЧАНИЕ: С поставщиком связались рано по поводу этого раскрытия, но никоим образом не ответили.

CVE-2026-4670Повышение привилегий в MOVEit Automation

CVE-2025-41733Мастер ввода в эксплуатацию на затронутых устройствах не проверяет, если устройство уже инициализировано. Неаутентифицированный удаленный злоумышленник может создавать POST-запросы для определения корневых учетных данных.

CVE-2025-36386IBM Maximo Application Suite 9.0.0 - 9.0.15 и 9.1.0-9.1.4 могут позволить удаленному злоумышленнику обойти механизмы аутентификации и получить несанкционированный доступ к приложению.

CVE-2025-31161CrushFTP 10 до 10.8.4 и 11 до 11.3.1 позволяет обойти аутентификацию и захватить учетную запись crushadmin (если не используется прокси-сервер DMZ), как это было использовано в марте и апреле 2025 года, известное как "Неаутентифицированный доступ к порту HTTP(S)." В HTTP-компоненте FTP-сервера существует состояние гонки в методе авторизации AWS4-HMAC (совместим с S3). Сервер сначала проверяет существование пользователя, выполняя вызов login_user_pass() без требования пароля. Это аутентифицирует сессию через процесс проверки HMAC и до тех пор, пока сервер снова не проверит аутентификацию пользователя. Уязвимость может быть дополнительно стабилизирована, исключая необходимость успешно инициировать состояние гонки, отправляя поврежденный заголовок AWS4-HMAC. Указав только имя пользователя и последующий слэш (/), сервер успешно найдет имя пользователя, что инициирует успешный процесс аутентификации anypass, но сервер не сможет найти ожидаемую запись SignedHeaders, что приведет к ошибке индекса вне границ, которая остановит код от достижения очистки сессии. Вместе эти проблемы делают аутентификацию как любого известного или предположительно известного пользователя (например, crushadmin) тривиальной и могут привести к полному компромиссу системы путем получения административной учетной записи.

CVE-2025-13915IBM API Connect 10.0.8.0 до 10.0.8.5 и 10.0.11.0 может позволить удаленному злоумышленнику обойти механизмы аутентификации и получить несанкционированный доступ к приложению.

CVE-2024-50478Обход аутентификации из-за основной уязвимости в Swoop 1-Click Login: Passwordless Authentication позволяет обойти аутентификацию. Эта проблема затрагивает 1-Click Login: Passwordless Authentication: 1.4.5.

CVE-2024-36388MileSight DeviceHub - CWE-305 Отсутствие аутентификации для критически важной функции.

CVE-2024-1403В OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 на всех платформах, поддерживаемых продуктом OpenEdge, была выявлена уязвимость обхода аутентификации. Уязвимость представляет собой обход аутентификации, основанный на неправильной обработке имени пользователя и пароля. Определенное неожиданное содержимое, передаваемое в учетные данные, может привести к несанкционированному доступу без надлежащей аутентификации.

CVE-2024-1202Уязвимость обхода аутентификации по основной слабости в XPodas Octopod позволяет обойти аутентификацию. Эта проблема затрагивает Octopod: до версии v1. ПРИМЕЧАНИЕ: Связались с поставщиком, и выяснилось, что продукт не поддерживается.

CVE-2023-7103Уязвимость Authentication Bypass by Primary Weakness в ZKSoftware Biometric Security Solutions UFace 5 позволяет обойти аутентификацию. Эта проблема затрагивает UFace 5: до 12022024.

CVE-2023-6153Уязвимость обхода аутентификации из-за основной слабости в TeoSOFT Software TeoBASE позволяет обходить аутентификацию. Эта проблема затрагивает TeoBASE: до 20240327. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.

CVE-2023-41920Уязвимость позволяет злоумышленникам получить доступ к учетной записи root без необходимости аутентификации. В частности, если устройство настроено с IP-адресом 10.10.10.10, пользователь root автоматически входит в систему.

CVE-2023-34137Веб-служба CAS SonicWall GMS и Analytics использует статические значения для аутентификации без надлежащих проверок, что приводит к уязвимости обхода аутентификации. Эта проблема затрагивает GMS: 9.3.2-SP1 и более ранние версии; Analytics: 2.5.0.4-R7 и более ранние версии.

CVE-2023-34124Механизм аутентификации в SonicWall GMS и аналитических веб-службах имел недостаточные проверки, что позволяло обходить аутентификацию. Эта проблема затрагивает GMS: 9.3.2-SP1 и более ранние версии; Аналитика: 2.5.0.4-R7 и более ранние версии.