CWE-358БазаЧерновик
Некорректная реализация проверки безопасности для стандарта
Продукт не реализует или некорректно реализует одну или несколько проверок, имеющих значение для безопасности, как предписано проектом стандартизированного алгоритма, протокола или техники.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2018-0268Уязвимость в подсистеме управления контейнерами Cisco Digital Network Architecture (DNA) Center может позволить не прошедшему проверку подлинности удаленному злоумышленнику обойти аутентификацию и получить повышенные привилегии. Эта уязвимость связана с небезопасной конфигурацией по умолчанию подсистемы управления контейнерами Kubernetes в DNA Center. Злоумышленник, имеющий возможность доступа к порту службы Kubernetes, может выполнять команды с повышенными привилегиями в подготовленных контейнерах. Успешная эксплуатация может привести к полному компрометации затронутых контейнеров. Эта уязвимость затрагивает выпуски программного обеспечения Cisco DNA Center 1.1.3 и более ранние. Cisco Bug IDs: CSCvi47253.
CVE-2025-6433Если пользователь посещал веб-страницу с недействительным сертификатом TLS и предоставлял исключение, веб-страница могла предоставить WebAuthn-запрос, который пользователь должен был выполнить. Это нарушает спецификацию WebAuthN, требующую "безопасный транспорт, установленный без ошибок". Эта уязвимость затрагивает Firefox < 140 и Thunderbird < 140 [1].
Источники:
- [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1954033
- [2] https://www.mozilla.org/security/advisories/mfsa2025-51/
- [3] https://www.mozilla.org/security/advisories/mfsa2025-54/
CVE-2025-62583Whale Browser до 4.33.325.17 позволяет злоумышленнику сбежать из песочницы iframe в среде с двумя вставками.
CVE-2025-4052Неправильная реализация в DevTools в Google Chrome до версии 136.0.7103.59 позволяла удаленному злоумышленнику, который убедил пользователя выполнить определенные действия с UI, обойти дискреционное управление доступом через специально созданную HTML-страницу [1][2].
Источники:
- [1] https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_29.html
- [2] https://issues.chromium.org/issues/401927528
CVE-2023-3266В производственном приложении существует неполный механизм аутентификации, позволяющий злоумышленнику обойти все проверки аутентификации, если выбрана аутентификация LDAP. Не прошедший проверку подлинности злоумышленник может использовать эту уязвимость для входа в CypberPower PowerPanel Enterprise в качестве администратора, выбрав аутентификацию LDAP из скрытого раскрывающегося списка HTML. Успешная эксплуатация этой уязвимости также требует, чтобы злоумышленник знал хотя бы одно имя пользователя на устройстве, но любой пароль будет успешно аутентифицирован.
CVE-2020-6823Вредоносное расширение могло вызвать <code>browser.identity.launchWebAuthFlow</code>, контролируя redirect_uri, и через возвращенный Promise получить код Auth и получить доступ к учетной записи пользователя у поставщика услуг. Эта уязвимость затрагивает Firefox версий < 75.
CVE-2019-6742Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Samsung Galaxy S9 до версии 1.4.20.2. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в обработке механизма обновления GameServiceReceiver. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7477.
CVE-2015-8805Функция ecc_256_modq в ecc-256.c в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-256 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы, что является другой уязвимостью, чем CVE-2015-8803.
CVE-2015-8804x86_64/ecc-384-modp.asm в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-384 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы.
CVE-2015-8803Функция ecc_256_modp в ecc-256.c в Nettle до 3.2 неправильно обрабатывает распространение переноса и выдает неверные выходные данные в своей реализации эллиптической кривой P-256 NIST, что позволяет злоумышленникам оказывать неуказанное воздействие через неизвестные векторы, что является другой уязвимостью, чем CVE-2015-8805.
CVE-2025-69234Китовый браузер до 4.35.351.12 позволяет злоумышленнику избежать франшипной коробки в боковой панели.
CVE-2023-39403Уязвимость проверки параметров в модуле installd. Успешная эксплуатация этой уязвимости может привести к чтению и записи файлов песочницы без авторизации.
CVE-2026-1486В Кейклоаке был обнаружен недостаток. Уязвимость существует в потоке выдачи-гранта, когда сервер не может проверить, включен ли поставщик идентификационных данных (IdP) перед выдачей токенов. Механизм поиска эмитента (lookupIdentityProviderFromIssuer) извлекает конфигурацию IdP, но не фильтрует isEnabled=false. Если администратор отключает IdP (например, из-за компромисса или высадки), организация, обладающая этим ключом подписи IdP, все еще может генерировать действительные утверждения JWT, которые принимает Keycloak, что приводит к выдаче действительных токенов доступа.
CVE-2025-66600Уязвимость была обнаружена в FAST/TOOLS, предоставленной Yokogawa Electric Corporation.
Этому продукту не хватает
Конфигурация HSTS (HTTP Strict Transport Security). Когда злоумышленник выполняет
Атака «Мэн в середине» (MITM), связь с веб-сервером может быть
Понюхал.
затронутые продукты и версии следующие: FAST/TOOLS (Пакеты: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 to
R10.04
CVE-2025-3069Некорректная реализация в расширениях Google Chrome до версии 135.0.7049.52 позволила удаленному злоумышленнику повысить привилегии через специально подготовленную HTML-страницу. (Серьезность безопасности Chromium: Средняя)