CWE-393БазаЧерновик
Возврат неверного кода состояния
Функция или операция возвращает некорректное возвращаемое значение или код состояния, который не отражает истинный результат выполнения, что приводит к изменению поведения продукта на основе некорректного результата.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-9058Szafir SDK возвращает код статуса успеха из процесса криптографической цифровой проверки подписи (т.е. /ПроверкаTaskItem/Signature/VerificationReult/Result/@code == 0, "Позитивно проверено") даже в том случае, если доверительный статус сертификата подписавших сертификата не может быть установлен (т.е. /ПроверкаТаковысборник/ПодписаниеТемкновение/ПодписаниеТемкнет/@certificateType == "неопределенный"). Это приводит к тому, что потребляющие приложения неправильно относятся к подписи как действительна, несмотря на непроверенную цепочку сертификатов, что позволяет обходить аутентификацию и олицетворение пользователя.
Эта проблема была исправлена в версии 463.
CVE-2024-49117Уязвимость удаленного выполнения кода в Windows Hyper-V
CVE-2025-5987В libssh при использовании шифра ChaCha20 с библиотекой OpenSSL обнаружена уязвимость. Если злоумышленник сможет исчерпать пространство кучи, эта ошибка не обнаруживается и может привести к использованию libssh частично инициализированного контекста шифра. Это происходит из-за того, что код ошибки, возвращаемый OpenSSL, совпадает с кодом SSH_OK, что приводит к тому, что libssh не обнаруживает ошибку должным образом. Это может привести к неопределенному поведению, включая нарушение конфиденциальности и целостности данных или сбои [1].
Источники:
- [1] https://access.redhat.com/security/cve/CVE-2025-5987
- [2] https://bugzilla.redhat.com/show_bug.cgi?id=2376219
CVE-2012-1583Уязвимость двойного освобождения памяти в функции xfrm6_tunnel_rcv в net/ipv6/xfrm6_tunnel.c в ядре Linux до 2.6.22, когда включен модуль xfrm6_tunnel, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (панику) через специально созданные пакеты IPv6.
CVE-2025-32414В libxml2 до 2.13.8 и 2.14.x до 2.14.2 может произойти выход за пределы памяти в Python API (Python bindings) из-за неверного возвращаемого значения. Это происходит в xmlPythonFileRead и xmlPythonFileReadRaw из-за разницы между байтами и символами.
CVE-2010-4351JNLP SecurityManager в IcedTea (IcedTea.so) 1.7 до 1.7.7, 1.8 до 1.8.4 и 1.9 до 1.9.4 для Java OpenJDK возвращается из метода checkPermission вместо выдачи исключения в определенных обстоятельствах, что может позволить злоумышленникам, зависящим от контекста, обходить предполагаемую политику безопасности путем создания экземпляров ClassLoader.
CVE-2024-42284В ядре Linux устранена следующая уязвимость:
tipc: Возвращайте ненулевое значение из tipc_udp_addr2str() при ошибке
tipc_udp_addr2str() должен возвращать ненулевое значение, если UDP-медиа
адрес недействителен. В противном случае может произойти переполнение буфера в
tipc_media_addr_printf(). Исправьте это, вернув 1 при недействительном UDP
медиа-адресе.
CVE-2025-24531В OpenSC pam_pkcs11 до 0.6.13 pam_sm_authenticate() ошибочно возвращает PAM_IGNORE во многих ситуациях ошибки (например, ошибка, вызванная смарт-картой перед входом в систему), позволяя обойти аутентификацию.
CVE-2022-28199Дистрибутив NVIDIA Data Plane Development Kit (MLNX_DPDK) содержит уязвимость в сетевом стеке, где восстановление после ошибок обрабатывается неправильно, что может позволить удаленному злоумышленнику вызвать отказ в обслуживании и некоторое воздействие на целостность и конфиденциальность данных.
CVE-2019-20924Пользователь, имеющий право выполнять запросы к базе данных, может вызвать отказ в обслуживании, выполнив специально созданные запросы, которые вызывают инвариант в IndexBoundsBuilder. Эта проблема затрагивает MongoDB Server v4.2 версий до 4.2.2.
CVE-2018-20802Пользователь, авторизованный для выполнения запросов к базе данных, может вызвать отказ в обслуживании, выполнив специально созданные запросы с составными индексами, влияющими на QueryPlanner. Эта проблема затрагивает MongoDB Server v3.6 версий до 3.6.9 и MongoDB Server v4.0 версий до 4.0.3.
CVE-2022-34472Если был установлен PAC URL и сервер, на котором размещен PAC, был недоступен, запросы OCSP были бы заблокированы, что привело бы к отображению неправильных страниц ошибок. Эта уязвимость затрагивает Firefox < 102, Firefox ESR < 91.11, Thunderbird < 102 и Thunderbird < 91.11.
CVE-2020-11743В Xen версий до 4.13.x обнаружена проблема, позволяющая пользователям гостевой ОС вызывать отказ в обслуживании из-за неправильного пути ошибки в GNTTABOP_map_grant. Ожидается, что операции с таблицей грантов будут возвращать 0 в случае успеха и отрицательное число в случае ошибок. Некоторые неправильно расположенные скобки приводят к тому, что один путь ошибки возвращает 1 вместо отрицательного значения. Код таблицы грантов в Linux рассматривает это условие как успех и продолжает работу с неправильно инициализированным состоянием. Ошибочный или вредоносный гость может построить свою таблицу грантов таким образом, что, когда серверный домен пытается сопоставить грант, он попадает на неправильный путь ошибки. Это приведет к сбою dom0 или серверного домена на базе Linux.
CVE-2020-11742В Xen версий до 4.13.x обнаружена проблема, позволяющая пользователям гостевой ОС вызывать отказ в обслуживании из-за неправильной обработки продолжения в GNTTABOP_copy. Ожидается, что операции с таблицей грантов будут возвращать 0 в случае успеха и отрицательное число в случае ошибок. Исправление для CVE-2017-12135 представило путь через обработку копирования грантов, где успех может быть возвращен вызывающей стороне без каких-либо действий. В частности, поля состояния отдельных операций остаются неинициализированными и могут привести к ошибочному поведению вызывающей стороны GNTTABOP_copy. Ошибочный или вредоносный гость может построить свою таблицу грантов таким образом, что, когда серверный домен пытается скопировать грант, он попадает на неправильный путь выхода. Это возвращает успех вызывающей стороне, ничего не делая, что может вызвать сбои или другое неправильное поведение.
CVE-2024-42296В ядре Linux устранена следующая уязвимость:
f2fs: fix return value of f2fs_convert_inline_inode()
Если устройство доступно только для чтения, сделайте так, чтобы f2fs_convert_inline_inode() возвращал EROFS вместо нуля, иначе это может вызвать панику во время обратной записи грязной страницы встроенного inode, как показано ниже:
f2fs_write_single_data_page+0xbb6/0x1e90 fs/f2fs/data.c:2888
f2fs_write_cache_pages fs/f2fs/data.c:3187 [inline]
__f2fs_write_data_pages fs/f2fs/data.c:3342 [inline]
f2fs_write_data_pages+0x1efe/0x3a90 fs/f2fs/data.c:3369
do_writepages+0x359/0x870 mm/page-writeback.c:2634
filemap_fdatawrite_wbc+0x125/0x180 mm/filemap.c:397
__filemap_fdatawrite_range mm/filemap.c:430 [inline]
file_write_and_wait_range+0x1aa/0x290 mm/filemap.c:788
f2fs_do_sync_file+0x68a/0x1ae0 fs/f2fs/file.c:276
generic_write_sync include/linux/fs.h:2806 [inline]
f2fs_file_write_iter+0x7bd/0x24e0 fs/f2fs/file.c:4977
call_write_iter include/linux/fs.h:2114 [inline]
new_sync_write fs/read_write.c:497 [inline]
vfs_write+0xa72/0xc90 fs/read_write.c:590
ksys_write+0x1a0/0x2c0 fs/read_write.c:643
do_syscall_x64 arch/x86/entry/common.c:52 [inline]
do_syscall_64+0xf5/0x240 arch/x86/entry/common.c:83
entry_SYSCALL_64_after_hwframe+0x77/0x7f