CWE-390 · Обнаружение ошибочного условия без принятия мер

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-390БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Обнаружение ошибочного условия без принятия мер

Продукт обнаруживает конкретную ошибку, однако не предпринимает никаких действий по её обработке.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2021-40391В функциональности номера инструмента T-кода формата drill в Gerbv 2.7.0, dev (commit b5f1eacd) и форкнутой версии Gerbv (commit 71493260) существует уязвимость записи за границами. Специально созданный drill-файл может привести к выполнению кода. Злоумышленник может предоставить вредоносный файл для использования этой уязвимости.

CVE-2019-5051При загрузке PCX-файла в SDL2_image версии 2.0.4 существует эксплуатируемая уязвимость переполнения буфера на основе кучи. Отсутствующий обработчик ошибок может привести к переполнению буфера и потенциальному выполнению кода. Злоумышленник может предоставить специально созданный файл изображения, чтобы вызвать эту уязвимость.

CVE-2016-5399Функция bzread в ext/bz2/bz2.c в PHP до 5.5.38, 5.6.x до 5.6.24 и 7.x до 7.0.9 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (запись за пределами границ) или выполнять произвольный код через специально созданный архив bz2.

CVE-2025-46367Dell Alienware Command Center 6.x (AWCC), версии до 6.10.15.0, содержат обнаружение Соответствия Ошибки без действия. Низкий привилегированный злоумышленник с локальным доступом может потенциально использовать эту уязвимость, что приведет к исполнению Произвольного кода.

CVE-2024-49841Повреждение памяти во время назначения памяти для безголовой периферийной виртуальной машины из-за неправильной обработки кода ошибки. Источники: - [1] https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2025-bulletin.html

CVE-2024-27919Envoy — это облачный, открытый прокси уровня и сервисов. В версиях 1.29.0 и 1.29.1 стек протокола Envoy HTTP/2 уязвим к потоку CONTINUATION фреймов. Кодек Envoy HTTP/2 не сбрасывает запрос, когда превышены ограничения заголовков. Это позволяет злоумышленнику отправить последовательность фреймов CONTINUATION без установленного бита END_HEADERS, что приводит к неограниченному потреблению памяти. Это может привести к отказу в обслуживании из-за исчерпания памяти. Пользователи должны обновиться до версии 1.29.2, чтобы уменьшить последствия потока CONTINUATION. Обратите внимание, что эта уязвимость является регрессом только в версиях Envoy 1.29.0 и 1.29.1. В качестве обходного пути рекомендуем откатиться на версию 1.28.1 или более раннюю, или отключить протокол HTTP/2 для подключений вниз по потоку.

CVE-2017-7485В PostgreSQL 9.3.x до 9.3.17, 9.4.x до 9.4.12, 9.5.x до 9.5.7 и 9.6.x до 9.6.3 было обнаружено, что переменная окружения PGREQUIRESSL больше не обеспечивает SSL/TLS-соединение с сервером PostgreSQL. Активный злоумышленник типа «человек посередине» может использовать этот недостаток для удаления защиты SSL/TLS из соединения между клиентом и сервером.

CVE-2025-26465Уязвимость была обнаружена в OpenSSH, когда включена опция VerifyHostKeyDNS. Атака типа «человек посередине» может быть осуществлена злоумышленной машиной, выдающей себя за легитимный сервер. Эта проблема возникает из-за того, как OpenSSH неправильно обрабатывает коды ошибок в определенных условиях при проверке ключа хоста. Для того чтобы атака считалась успешной, злоумышленник должен сначала исчерпать ресурсы памяти клиента, что делает сложность атаки высокой.

CVE-2024-12086В rsync обнаружена уязвимость. Это может позволить серверу перечислять содержимое произвольного файла с машины клиента. Эта проблема возникает, когда файлы копируются с клиента на сервер. В процессе этого сервер rsync отправляет клиенту контрольные суммы локальных данных для сравнения, чтобы определить, какие данные необходимо отправить на сервер. Отправляя специально созданные значения контрольных сумм для произвольных файлов, злоумышленник может восстановить данные этих файлов байт за байтом на основе ответов от клиента.

CVE-2025-27039Коррупция памяти может произойти при обработке запроса IOCTL для запроса DMM/WARPNCC CONFIG.

CVE-2025-25204`gh` - это официальное средство командной строки GitHub. Начиная с версии 2.49.0 и до версии 2.67.0, при определённых условиях ошибка в инструменте проверки аттестации артефактов GitHub `gh attestation verify` вызывает возврат нулевого кода завершения, когда аттестации отсутствуют. Это поведение некорректно: когда аттестации отсутствуют, `gh attestation verify` должен возвращать ненулевой код статуса завершения, тем самым сигнализируя о неудаче проверки. Злоумышленник может использовать этот недостаток, чтобы, например, развернуть вредоносные артефакты в любой системе, использующей коды завершения `gh attestation verify` для ограничения развертывания. Пользователям рекомендовано обновить `gh` до исправленной версии `v2.67.0` как можно скорее.

CVE-2024-11942Уязвимость в Drupal Core позволяет манипулировать файлами. Эта проблема затрагивает Drupal Core: с 10.0.0 до 10.2.10.

CVE-2024-50284В ядре Linux устранена следующая уязвимость: ksmbd: исправить недостающую проверку ошибок xa_store xa_store() может завершиться неудачно, он возвращает xa_err(-EINVAL), если запись не может быть сохранена в XArray, или xa_err(-ENOMEM), если не удалось выделить память, поэтому проверьте наличие ошибок для xa_store(), чтобы исправить это.

CVE-2017-7616Неправильная обработка ошибок в системных вызовах set_mempolicy и mbind compat в mm/mempolicy.c в ядре Linux до версии 4.10.9 позволяет локальным пользователям получать конфиденциальную информацию из неинициализированных данных стека, вызывая сбой определенной операции с битовой картой.

CVE-2024-30255Envoy - это облачный, открытый крайний и сервисный прокси. Стек протокола HTTP/2 в версиях Envoy до 1.29.3, 1.28.2, 1.27.4 и 1.26.8 подвержен исчерпанию ЦП из-за потока кадров CONTINUATION. Кодек HTTP/2 в Envoy позволяет клиенту отправлять неограниченное количество кадров CONTINUATION, даже после превышения пределов карты заголовков Envoy. Это позволяет атакующему отправлять последовательность кадров CONTINUATION без установленного бита END_HEADERS, вызывая нагрузку на процессор, потребляя примерно 1 ядро на 300 Мбит/с трафика и в конечном итоге приводя к отказу в обслуживании через исчерпание ЦП. Пользователи должны обновиться до версии 1.29.3, 1.28.2, 1.27.4 или 1.26.8, чтобы смягчить последствия потока CONTINUATION. В качестве обходного решения отключите протокол HTTP/2 для нижестоящих соединений.