CWE-358БазаЧерновик
Некорректная реализация проверки безопасности для стандарта
Продукт не реализует или некорректно реализует одну или несколько проверок, имеющих значение для безопасности, как предписано проектом стандартизированного алгоритма, протокола или техники.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2018-0268Уязвимость в подсистеме управления контейнерами Cisco Digital Network Architecture (DNA) Center может позволить не прошедшему проверку подлинности удаленному злоумышленнику обойти аутентификацию и получить повышенные привилегии. Эта уязвимость связана с небезопасной конфигурацией по умолчанию подсистемы управления контейнерами Kubernetes в DNA Center. Злоумышленник, имеющий возможность доступа к порту службы Kubernetes, может выполнять команды с повышенными привилегиями в подготовленных контейнерах. Успешная эксплуатация может привести к полному компрометации затронутых контейнеров. Эта уязвимость затрагивает выпуски программного обеспечения Cisco DNA Center 1.1.3 и более ранние. Cisco Bug IDs: CSCvi47253.
CVE-2025-6433Если пользователь посещал веб-страницу с недействительным сертификатом TLS и предоставлял исключение, веб-страница могла предоставить WebAuthn-запрос, который пользователь должен был выполнить. Это нарушает спецификацию WebAuthN, требующую "безопасный транспорт, установленный без ошибок". Эта уязвимость затрагивает Firefox < 140 и Thunderbird < 140 [1].
Источники:
- [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1954033
- [2] https://www.mozilla.org/security/advisories/mfsa2025-51/
- [3] https://www.mozilla.org/security/advisories/mfsa2025-54/
CVE-2025-62583Whale Browser before 4.33.325.17 allows an attacker to escape the iframe sandbox in a dual-tab environment.
CVE-2025-4052Неправильная реализация в DevTools в Google Chrome до версии 136.0.7103.59 позволяла удаленному злоумышленнику, который убедил пользователя выполнить определенные действия с UI, обойти дискреционное управление доступом через специально созданную HTML-страницу [1][2].
Источники:
- [1] https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_29.html
- [2] https://issues.chromium.org/issues/401927528
CVE-2023-3266В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, если выбрана аутентификация LDAP. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора, выбрав аутентификацию LDAP из скрытого раскрывающегося списка HTML. Успешная эксплуатация этой уязвимости также требует, чтобы злоумышленник знал хотя бы одно имя пользователя на устройстве, но любой пароль будет успешно аутентифицирован.
CVE-2020-6823Вредоносное расширение могло вызвать <code>browser.identity.launchWebAuthFlow</code>, контролируя redirect_uri, и через возвращенный Promise получить код Auth и получить доступ к учетной записи пользователя у поставщика услуг. Эта уязвимость затрагивает Firefox версий < 75.
CVE-2019-6742Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Samsung Galaxy S9 до версии 1.4.20.2. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в обработке механизма обновления GameServiceReceiver. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7477.
CVE-2015-8805Функция ecc_256_modq в ecc-256.c в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-256 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы, что является другой уязвимостью, чем CVE-2015-8803.
CVE-2015-8804x86_64/ecc-384-modp.asm в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-384 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы.
CVE-2015-8803Функция ecc_256_modp в ecc-256.c в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-256 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы, что является другой уязвимостью, чем CVE-2015-8805.
CVE-2025-69234Whale browser before 4.35.351.12 allows an attacker to escape the iframe sandbox in a sidebar environment.
CVE-2023-39403Уязвимость проверки параметров в модуле installd. Успешная эксплуатация этой уязвимости может привести к чтению и записи файлов песочницы без авторизации.
CVE-2026-1486A flaw was found in Keycloak. A vulnerability exists in the jwt-authorization-grant flow where the server fails to verify if an Identity Provider (IdP) is enabled before issuing tokens. The issuer lookup mechanism (lookupIdentityProviderFromIssuer) retrieves the IdP configuration but does not filter for isEnabled=false. If an administrator disables an IdP (e.g., due to a compromise or offboarding), an entity possessing that IdP's signing key can still generate valid JWT assertions that Keycloak accepts, resulting in the issuance of valid access tokens.
CVE-2025-66600A vulnerability has been found in FAST/TOOLS provided by Yokogawa Electric Corporation.
This product lacks
HSTS (HTTP Strict Transport Security) configuration. When an attacker performs
a Man in the middle (MITM) attack, communications with the web server could be
sniffed.
The
affected products and versions are as follows: FAST/TOOLS (Packages: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 to
R10.04
CVE-2025-3069Некорректная реализация в расширениях Google Chrome до версии 135.0.7049.52 позволила удаленному злоумышленнику повысить привилегии через специально подготовленную HTML-страницу. (Серьезность безопасности Chromium: Средняя)