CWE-392 · Отсутствие сообщения об ошибочном условии

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-392БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Отсутствие сообщения об ошибочном условии

Продукт сталкивается с ошибкой, однако не предоставляет код состояния или возвращаемое значение, указывающее на её возникновение.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-32743В ConnMan до версии 1.44 строка поиска в ns_resolv в dnsproxy.c может быть NULL или пустой строкой при установленном бите TC (Truncated) в ответе DNS. Это позволяет злоумышленникам вызвать отказ в обслуживании (сбой приложения) или потенциально выполнить произвольный код [1]. Источники: - [1] https://web.git.kernel.org/pub/scm/network/connman/connman.git/tree/src/dnsproxy.c?h=1.44#n1688

CVE-2017-2342Функция MACsec в Juniper Networks Junos OS 15.1X49 до 15.1X49-D100 на SRX300 series не сообщает об ошибках, когда не удается установить безопасное соединение. Она переходит на незашифрованное соединение. Это может произойти, когда MACsec настроен на портах, которые не поддерживают MACsec, или когда не удается установить безопасное соединение. Это может ввести клиентов в заблуждение, заставив поверить, что соединение безопасно. На устройствах SRX 300 series до 15.1X49-D100 MACsec поддерживался только на портах управления и фабрики устройств SRX340 и SRX345. SRX300 и SRX320 не имели портов, поддерживающих MACsec. Настройка MACsec на портах, которые не поддерживают MACsec, привела бы к этой проблеме. Уязвимые выпуски: Juniper Networks Junos OS 15.1X49 до 15.1X49-D100 на SRX300 series.

CVE-2026-42246Net::IMAP реализует функциональность клиента Internet Message Access Protocol (IMAP) в Ruby. До версий 0.3.10, 0.4.24, 0.5.14 и 0.6.4 злоумышленник может заставить Net::IMAP#starttls вернуться «успешно», не начав TLS. Эта проблема была исправлена в версиях 0.3.10, 0.4.24, 0.5.14 и 0.6.4.

CVE-2016-3099mod_ns в Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux Server 7 и Red Hat Enterprise Linux Workstation 7 позволяет удаленным злоумышленникам принудительно использовать шифры, которые не должны были быть включены.

CVE-2025-23270NVIDIA Jetson Linux содержит уязвимость в режиме управления UEFI, где непривилегированный локальный злоумышленник может вызвать раскрытие конфиденциальной информации через уязвимость стороннего канала. Успешная эксплуатация этой уязвимости может привести к выполнению кода, нарушению целостности данных, отказу в обслуживании и раскрытию информации [1]. Источники: - [1] https://nvidia.custhelp.com/app/answers/detail/a_id/5662

CVE-2014-3468Функция asn1_get_bit_der в GNU Libtasn1 до версии 3.6 неправильно сообщает об ошибке при обнаружении отрицательной длины бита, что позволяет зависящим от контекста злоумышленникам вызывать выход за границы через специально созданные данные ASN.1.

CVE-2025-26268DragonflyDB Dragonfly до версии 1.27.0 позволяет аутентифицированным пользователям вызвать отказ в обслуживании (сбой демона) посредством специально сформированной команды Redis. Не была проверена действительность курсора сканирования. Исправление доступно в версии 1.27.0 [1]. Источники: - [1] https://github.com/dragonflydb/dragonfly/issues/4466

CVE-2024-12797Обзор проблемы: клиенты, использующие RFC7250 Raw Public Keys (RPKs) для аутентификации сервера, могут не заметить, что сервер не был аутентифицирован, потому что рукопожатия не прерываются, как ожидалось, когда установлен режим проверки SSL_VERIFY_PEER. Обзор влияния: TLS и DTLS соединения, использующие необработанные открытые ключи, могут быть уязвимы к атакам типа «человек посередине», если не обнаружена ошибка аутентификации сервера клиентами. RPK по умолчанию отключены как в TLS-клиентах, так и в TLS-серверах. Проблема возникает только тогда, когда TLS-клиенты явно включают использование RPK со стороны сервера, и сервер, в свою очередь, позволяет отправку RPK вместо цепочки сертификатов X.509. Затронуты те клиенты, которые затем полагаются на отказ рукопожатия, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, установив режим проверки в SSL_VERIFY_PEER. Клиенты, которые включают открытые ключи необработанного типа на стороне сервера, все же могут узнать, что проверка открытых ключей необработанного типа не удалась, вызвав SSL_get_verify_result(), и те, кто это делает и принимает соответствующие меры, не подвержены воздействию. Эта проблема была введена в начальной реализации поддержки RPK в OpenSSL 3.2. Модули FIPS в 3.4, 3.3, 3.2, 3.1 и 3.0 не подвержены этой проблеме.

CVE-2026-20005Несколько продуктов Cisco подвержены влиянию уязвимости в двигателе обнаружения Snort 3, которая может позволить неаутентифицированному удаленному злоумышленнику перезапустить двигатель обнаружения Snort 3, что приведет к прерыванию проверки пакета. Эта уязвимость обусловлена неполным разбором пакетов SSL-рукопожатия. Злоумышленник может использовать эту уязвимость, отправляя созданные пакеты рукопожатия SSL. Успешный эксплойт может позволить злоумышленнику вызвать состояние отказа в обслуживании (DoS), когда двигатель обнаружения Snort 3 неожиданно перезапускается.

CVE-2020-15566В Xen до версии 4.13.x обнаружена проблема, позволяющая пользователям гостевой ОС вызывать сбой хост-ОС из-за неправильной обработки ошибок при выделении порта канала событий. Выделение порта канала событий может завершиться неудачей по нескольким причинам: (1) порт уже используется, (2) сбой выделения памяти или (3) порт, который мы пытаемся выделить, выше, чем поддерживается ABI (например, 2L или FIFO), используемым гостевой системой, или ограничением, установленным администратором (max_event_channels в xl cfg). Из-за отсутствующих проверок ошибок только (1) будет считаться ошибкой. Все остальные случаи предоставят действительный порт и приведут к сбою при попытке доступа к каналу событий. Когда администратор настроил гостевую систему для разрешения более 1023 каналов событий, эта гостевая система может вызвать сбой хоста. Когда в Xen не хватает памяти, выделение новых каналов событий приведет к сбою хоста, а не к сообщению об ошибке. Уязвимы версии Xen 4.10 и более поздние. Уязвимы все архитектуры. Конфигурация по умолчанию, когда гостевые системы создаются с помощью xl/libxl, не уязвима из-за ограничения каналов событий по умолчанию.

CVE-2022-39190В net/netfilter/nf_tables_api.c в ядре Linux до версии 5.19.6 обнаружена проблема. Отказ в обслуживании может произойти при привязке к уже привязанной цепочке.

CVE-2013-2005X.org libXt 1.1.3 и более ранние версии не проверяют возвращаемое значение функции XGetWindowProperty, что позволяет X-серверам вызывать использование неинициализированного указателя и повреждение памяти через векторы, связанные с функциями (1) ReqCleanup, (2) HandleSelectionEvents, (3) ReqTimedOut, (4) HandleNormal и (5) HandleSelectionReplies.

CVE-2025-59398Реализация OCPP в libocpp до версии 0.26.2 позволяет вызвать отказ в обслуживании (сбой EVerest) посредством JSON-ввода размером более 255 символов, поскольку объект CiString<255> создается с параметром StringTooLarge, установленным в Throw [1]. Источники: - [1] https://github.com/EVerest/everest-core/issues/1152 - [2] https://github.com/EVerest/everest-core/commit/253432ae7458ad0445f68f9d716086090c2be49c - [3] https://github.com/EVerest/everest-core/compare/v0.26.1...v0.26.2 - [4] https://github.com/EVerest/libocpp/commit/fb391b4ff16a0a07150e5a8eebf0856fb6623cbe - [5] https://github.com/EVerest/libocpp/pull/1052

CVE-2023-48430В SINEC INS (все версии < V1.0 SP2 Update 2) была выявлена уязвимость. REST API уязвимых устройств не проверяет длину параметров при определенных условиях. Это позволяет злонамеренному администратору вывести сервер из строя, отправив на API поддельный запрос. Сервер автоматически перезапустится.