CWE-348БазаЧерновик
Использование менее доверенного источника
Продукт имеет два различных источника одних и тех же данных или информации, однако использует источник с меньшей поддержкой проверки, меньшим доверием или меньшей устойчивостью к атакам.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2019-15224Gem rest-client версий 1.6.10–1.6.13 для Ruby, распространяемый на RubyGems.org, содержал бэкдор для выполнения кода, вставленный третьей стороной. Версии <=1.6.9 и >=1.6.14 не затрагиваются.
CVE-2014-3527При использовании аутентификации CAS Proxy ticket из Spring Security 3.1 в 3.2.4 вредоносный CAS Service может обманом заставить другой CAS Service аутентифицировать прокси-билет, который не был связан. Это связано с тем, что аутентификация прокси-билета использует информацию из HttpServletRequest, которая заполняется на основе ненадежной информации в HTTP-запросе. Это означает, что если существуют ограничения контроля доступа на то, какие CAS-сервисы могут аутентифицироваться друг у друга, эти ограничения можно обойти. Если пользователи не используют CAS Proxy tickets и не принимают решения о контроле доступа на основе CAS Service, то для пользователей нет никакого воздействия.
CVE-2024-27773Unitronics Unistream Unilogic – версии до 1.35.227 - CWE-348: Использование менее надежного источника может позволить RCE.
CVE-2026-43634Версии HestiaCP 1.2.0-1.9.4 содержат уязвимость IP-подмены, которая позволяет неаутентифицированным удаленным злоумышленникам обходить элементы управления безопасностью аутентификации, поставляя произвольный IP-адрес в HTTP-заголовке CF-Connecting-IP без проверки запроса, исходящего из сети Cloudflare. Злоумышленники могут использовать это, чтобы обойти защиту от отказоустойчивых отпугивания, обойти списки разрешений IP-адреса для каждого пользователя и отравить журналы аудита аутентификации, подставляя доверенный IP-адрес в каждом запросе.
CVE-2026-35391Bulwark Webmail - это самопровозглашенный веб-почта для Stalwart Mail Server. До 1.4.11 функция getClientIP() в lib/admin/session.ts доверяла первой (самой левой) записи заголовка X-Forwarded-For, который полностью контролируется клиентом. Злоумышленник может подделать свой исходный IP-адрес, чтобы обойти ограничение скорости на основе IP (позволяющую атаковать грубую силу против входа в админ-ляг, или подделать записи журналов аудита (что, по-видимому, происходит от произвольных IP-адресов). Эта уязвимость исправлена в 1.4.11.
CVE-2025-55292Meshtastic - это сетчатое решение с открытым исходным кодом. В текущей архитектуре Meshtastic Узел идентифицируется по их NodeID, генерируемому MAC-адресом, а не с их открытым ключом. Этот аспект понижает безопасность, в частности, злоупотребляя режимом HAM, который не использует шифрование. Злоумышленник может, как таковой, подделывать NodeInfo от имени пользователя-жертвы, рекламируя, что режим HAM включен. Это, в свою очередь, позволит другим узлам на сетке принять новую информацию и перезаписать NodeDB. Другие узлы смогут отправлять прямые сообщения жертве только с помощью общего ключа канала вместо PKC. Кроме того, поскольку режим HAM по дизайну не обеспечивает конфиденциальность или аутентификацию информации, злоумышленник потенциально может также изменять детали Node, такие как полное имя, короткий код и т. Д. Чтобы атака была настойчивой, достаточно регулярно перенаправить поддельный NodeInfo, в частности, сразу после того, как жертва посылает свой. Патч доступен в версии 2.7.6.834c3c5.
CVE-2021-21374Nimble - это менеджер пакетов для языка программирования Nim. В версиях Nim release до версий 1.2.10 и 1.4.4 "nimble refresh" извлекает список пакетов Nimble по протоколу HTTPS без полной проверки SSL/TLS-сертификата из-за настройки httpClient по умолчанию. Злоумышленник, способный выполнить MitM, может предоставить измененный список пакетов, содержащий вредоносные пакеты программного обеспечения. Если пакеты установлены и используются, атака перерастает в выполнение ненадежного кода.
CVE-2018-20225Проблема обнаружена в pip (все версии), поскольку он устанавливает версию с самым высоким номером версии, даже если пользователь намеревался получить частный пакет из частного индекса. Это влияет только на использование опции --extra-index-url, и для эксплуатации требуется, чтобы пакет еще не существовал в общедоступном индексе (и, следовательно, злоумышленник может поместить пакет туда с произвольным номером версии). ПРИМЕЧАНИЕ: сообщалось, что это предполагаемая функциональность, и пользователь несет ответственность за безопасное использование --extra-index-url.
CVE-2025-69240Raytha CMS позволяет злоумышленнику подделывать `X-Forwarded-Host` или `Host` заголовки на контролируемый атакующий домен. Злоумышленник (который знает адрес электронной почты жертвы) может заставить сервер отправить электронное письмо со ссылкой на сброс пароля, указывающее на домен из подделанного заголовка. Когда жертва нажимает на ссылку, браузер отправляет запрос в домен злоумышленника с токеном в пути, что позволяет злоумышленнику захватить токен. Это позволяет злоумышленнику сбросить пароль жертвы и завладеть учетной записью жертвы.
Эта проблема была исправлена в версии 1.4.6.
CVE-2024-23105Уязвимость Use Of Less Trusted Source [CWE-348] в Fortinet FortiPortal версии с 7.0.0 по 7.0.6 и с 7.2.0 по 7.2.1 позволяет неаутентифицированной атаке обходить IP-защиту через специально созданные HTTP или HTTPS пакеты.
CVE-2022-31813Apache HTTP Server 2.4.53 и более ранние версии могут не отправлять заголовки X-Forwarded-* на исходный сервер на основе механизма переходов заголовка Connection на стороне клиента. Это может быть использовано для обхода аутентификации на основе IP-адресов на исходном сервере/в приложении.
CVE-2022-2255В mod_wsgi обнаружена уязвимость. Заголовок X-Client-IP не удаляется из запроса от ненадежного прокси-сервера, что позволяет злоумышленнику передать заголовок X-Client-IP целевому WSGI-приложению, поскольку условие для его удаления отсутствует.
CVE-2025-47424Самостоятельно размещаемые версии Retool до версии 3.196.0 уязвимы для инъекций заголовка Host. Когда переменная среды BASE_DOMAIN не установлена, заголовок HTTP host может быть изменен [1].
Уязвимость может быть устранена немедленно путем правильной настройки переменной среды BASE_DOMAIN на полный URL развертывания, например https://retool.example.com. Начиная с версии 3.196.0, эта переменная среды будет обязательной для экземпляра при запуске.
Тип уязвимости: CWE-1289: Неправильная проверка небезопасной эквивалентности во входных данных.
Оценка CVSS 3.x: 7.1
Вектор CVSS 3.x: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L/E:P/RL:O/RC:C
Оценка CVSS 4.x: 5.3
Вектор CVSS 4.x: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/R:U
Источники:
- [1] https://docs.retool.com/disclosures/cve-2025-47424
CVE-2026-22201wpDiscuz до 7.6.47 содержит уязвимость IP-подпорки в функции getIP(), которая позволяет злоумышленникам обходить ограничение скорости на основе IP и запрещать правоприменение, доверяя ненадежным HTTP-заголовки. Злоумышленники могут установить HTTP_CLIENT_IP или HTTP_X_FORWARDED_FOR, чтобы подставить свой IP-адрес и обойти средства управления безопасностью.
CVE-2025-53522Подвижный тип содержит проблему с использованием менее надежного источника. При использовании подделанная электронная почта для сброса пароля может быть отправлена удаленным неаутентифицированным злоумышленником.