CWE-377КлассНеполный
Небезопасный временный файл
Создание и использование небезопасных временных файлов может сделать данные приложения и системы уязвимыми для атак.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2018-25068В devent globalpom-utils до версии 4.5.0 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает функцию createTmpDir файла globalpomutils-fileresources/src/main/java/com/anrisoftware/globalpom/fileresourcemanager/FileResourceManagerProvider.java. Манипуляция приводит к небезопасному временному файлу. Атака может быть инициирована удаленно. Обновление до версии 4.5.1 позволяет решить эту проблему. Патч идентифицирован как 77a820bac2f68e662ce261ecb050c643bd7ee560. Рекомендуется обновить уязвимый компонент. VDB-217570 - это идентификатор, присвоенный этой уязвимости.
CVE-2015-5224Функция mkostemp в login-utils в util-linux, при неправильном использовании, позволяет удаленным злоумышленникам вызвать коллизию имен файлов и, возможно, другие атаки.
CVE-2012-2666golang/go в версии 1.0.2 исправляет all.bash на общих машинах. dotest() в src/pkg/debug/gosym/pclntab_test.go создает временный файл с предсказуемым именем и выполняет его как shell-скрипт.
CVE-2011-4119caml-light <= 0.75 небезопасно использует mktemp(), а также делает небезопасные вещи в /tmp во время make install.
CVE-2025-14307Небезопасная временная уязвимость создания файлов существует в компоненте AutoExtract версии 1.9.3.6 Robocode. Метод createTempFile не может безопасно создавать временные файлы, что позволяет злоумышленникам использовать условия гонки и потенциально выполнять произвольный код или перезаписывать критические файлы. Эта уязвимость может быть использована путем манипулирования процессом создания временного файла, что приводит к потенциальным несанкционированным действиям.
CVE-2013-4561В узле openshift есть задание cron для обновления фактов mcollective, которое неправильно обрабатывает временный файл. Это может привести к потере конфиденциальности и целостности.
CVE-2018-16494В VOS и чрезмерно разрешительная «umask» может позволить авторизованным пользователям сервера получить несанкционированный доступ из-за небезопасных разрешений на файлы, которые могут привести к произвольному чтению, записи или выполнению вновь созданных файлов и каталогов. Небезопасная настройка umask присутствовала на всех серверах Versa.
CVE-2022-21809В InHand Networks InRouter302 V3.5.4 в функциональности httpd upload.cgi существует уязвимость записи файлов. Специально созданный HTTP-запрос может привести к произвольной загрузке файлов. Злоумышленник может загрузить вредоносный файл для эксплуатации этой уязвимости.
CVE-2015-5232Состояния гонки в opa-fm до версии 10.4.0.0.196 и opa-ff до версии 10.4.0.0.197.
CVE-2014-3701eDeploy имеет недостатки, связанные с состоянием гонки во временных файлах.
CVE-2025-7707Библиотека llama_index версии 0.12.33 по умолчанию устанавливает каталог данных NLTK в подкаталог кодовой базы, который по умолчанию записывается во всем мире в многопользовательских средах. Эта конфигурация позволяет локальных пользователям перезаписывать, удалять или повреждать файлы данных NLTK, что приводит к потенциальному отказу в обслуживании, фальсификации данных или эскалации привилегий. Уязвимость возникает из-за использования каталога общих кэшей вместо специализированного, что делает его восприимчивым к локальному фальсификации данных и отказу в обслуживании.
CVE-2025-46369Dell Alienware Command Center 6.x (AWCC), версии до 6.10.15.0, содержит уязвимость небезопасного временного файла. Низкий привилегированный злоумышленник с местным доступом может потенциально использовать эту уязвимость, что приведет к эскалации привилегий.
CVE-2023-49347Временные данные, передаваемые между компонентами приложения Budgie Extras Windows Previews, потенциально могут быть просмотрены или изменены. Данные хранятся в месте, доступном любому пользователю, имеющему локальный доступ к системе. Злоумышленники могут считывать личную информацию из окон, представлять пользователям ложную информацию или отказывать в доступе к приложению.
CVE-2023-49346Временные данные, передаваемые между компонентами приложения апплетом Budgie Extras WeatherShow, потенциально могут быть просмотрены или изменены. Данные хранятся в месте, доступном любому пользователю, имеющему локальный доступ к системе. Злоумышленники могут предварительно создавать и контролировать этот файл, чтобы представлять пользователям ложную информацию или отказывать в доступе к приложению и панели.
CVE-2023-49345Временные данные, передаваемые между компонентами приложения апплетом Budgie Extras Takeabreak, потенциально могут быть просмотрены или изменены. Данные хранятся в месте, доступном любому пользователю, имеющему локальный доступ к системе. Злоумышленники могут предварительно создавать и контролировать этот файл, чтобы представлять пользователям ложную информацию или отказывать в доступе к приложению и панели.