CWE-405КлассНеполный
Асимметричное потребление ресурсов (усиление)
Продукт не обеспечивает должного контроля ситуаций, при которых злоумышленник может вынудить продукт потреблять или производить избыточное количество ресурсов, не затрачивая при этом эквивалентных усилий или иным образом не подтверждая авторизацию, то есть влияние злоумышленника носит «асимметричный» характер.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-25611Серия специально созданных, неаутентованных сообщений может исчерпать доступную память и сломать сервер MongoDB.
CVE-2025-53633Уязвимость Scenario decoding process в Chall-Manager не проверяет размер распакованного контента при декодировании сценария (т.е. zip-архива), что потенциально может привести к zip-бомбам [1].
Эксплуатация не требует аутентификации или авторизации, поэтому любой может эксплуатировать эту уязвимость.
Патч был реализован коммитом 14042aa и выпущен в версии v0.1.4.
Источники:
- [1] https://github.com/ctfer-io/chall-manager/security/advisories/GHSA-r7fm-3pqm-ww5w
- [2] https://github.com/ctfer-io/chall-manager/commit/14042aa66a577caee777e10fe09adcf2587d20dd
- [3] https://github.com/ctfer-io/chall-manager/releases/tag/v0.1.4
CVE-2025-22166Уязвимость уровня высокой критичности (DoS) была введена в версии 2.0 Confluence Data Center. С CVSS‑баллом 8.3 она позволяет атакующему сделать ресурс недоступным для легитимных пользователей, временно или постоянно нарушая работу хоста в сети. Atlassian рекомендует пользователям Confluence Data Center обновиться до последней версии. Если это невозможно, следует перейти на один из поддерживаемых фиксированных релизов: Confluence Data Center и Server 8.5 — версия ≥ 8.5.25; Confluence Data Center и Server 9.2 — версия ≥ 9.2.7; Confluence Data Center и Server 10.0 — версия ≥ 10.0.2. Подробнее см. примечания к выпуску и центр загрузки. Уязвимость зарегистрирована в рамках внутренней программы Atlassian.
Источники:
- [1] https://confluence.atlassian.com/pages/viewpage.action?pageId=1652920034
- [2] https://jira.atlassian.com/browse/CONFSERVER-100907
CVE-2025-42874Удаленная служба SAP NetWeaver для Xcelsius позволяет злоумышленнику с доступом к сети и высокими привилегиями выполнять произвольный код в затронутой системе из-за недостаточной валидации ввода и неправильной обработки удаленных вызовов метода. Эксплуатация не требует взаимодействия с пользователем и может привести к нарушению обслуживания или несанкционированному системному контролю. Это оказывает большое влияние на целостность и доступность, не влияя на конфиденциальность.
CVE-2026-22775Svelte devalue - это библиотека JavaScript, которая сериализует значения в строки, когда JSON.stringify не является достаточным для работы. От 5.1.0 до 5.6.1, некоторые входы могут привести к тому, что devalue.parse будет потреблять чрезмерное время и/или память процессора, что может привести к отказу в обслуживании в системах, которые анализируют ввод из ненадежных источников. Это влияет на приложения с использованием devalue.parse на данных, поставляемых извне. Коренной причиной является увлажнение ArrayBuffer, ожидающее кодированных строк base64 в качестве входных данных, но не проверяя предположение перед расшифровкой ввода. Эта уязвимость зафиксирована в пункте 5.6.2.
CVE-2026-22774Svelte devalue - это библиотека JavaScript, которая сериализует значения в строки, когда JSON.stringify не является достаточным для работы. От 5.3.0 до 5.6.1, некоторые входные данные могут привести к тому, что devalue.parse потребляет чрезмерное время и/или память процессора, что может привести к отказу в обслуживании в системах, которые анализируют ввод из ненадежных источников. Это влияет на приложения с использованием devalue.parse на данных, поставляемых извне. Коренной причиной является гидратация набора массива, ожидающая ArrayBuffer в качестве входа, но не проверяющая предположение перед созданием печатного массива. Эта уязвимость зафиксирована в пункте 5.6.2.
CVE-2026-0485SAP BusinessObjects BI Platform позволяет неаффентированному злоумышленнику отправлять специально созданные запросы, которые могут привести к сбою серверу управления контентом (CMS) и автоматической перезагрузке. Неоднократно подав эти запросы злоумышленник может вызвать постоянный сбой в обслуживании, сделав CMS полностью недоступным. Успешная эксплуатация оказывает большое влияние на доступность, в то время как конфиденциальность и целостность остаются незатронутыми.
CVE-2025-8677В BIND 9 обнаружена уязвимость, позволяющая вызвать исчерпание процессорных ресурсов (CPU exhaustion) при запросе к специально сформированной зоне, содержащей некорректные записи DNSKEY. Уязвимость затрагивает версии 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12, а также их версии‑S1 (9.18.11‑S1‑9.18.39‑S1, 9.20.9‑S1‑9.20.13‑S1). Подробности см. в источнике [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-8677
CVE-2025-66564Sigstore Timestamp Authority - это услуга по выпуску штампов RFC 3161. До 2.0.3 Function api.ParseJSONRequest в настоящее время разделяет (через звонок в струны.Split) опционально предоставляемый OID (который является ненадежными данными) по периодам. Аналогично, функция api.getContentType разделяет заголовок Content-Type (который также является ненадежными данными) на строку приложения. В результате, в случае вредоносного запроса либо с чрезмерно длинным OID в полезной нагрузке, содержащей много персонажей периода, либо сформированный заголовок Content-Type, звонок api.ParseJSONRequest или api.getContentType требует выделения O(n) байтов (где n обозначает длину аргумента функции). Эта уязвимость исправлена в 2.0.3.
CVE-2025-66506Fulcio является бесплатным в использовании органом по сертификации для выдачи сертификатов подписи кода для идентификации OpenID Connect (OIDC). До 1.8.3 функция IDity.extractissuerURL разделяет (через призыв к строкам.Split) его аргумент (который является ненадежными данными) по периодам. В результате, в лице вредоносного запроса с (недействительным) токеном идентичности OIDC в полезной нагрузке, содержащей много символов периода, призыв к экстракции издателя-измерителя поручается выделениям на мелодию O(n) байтов (где n обозначает длину аргумента функции) с постоянным коэффициентом около 16. Эта уязвимость зафиксирована в пункте 1.8.3.
CVE-2025-31987HCL Connections Docs может неправильно обращаться с валидацией некоторых загруженных документов, что приводит к отказу в обслуживании из-за исчерпания ресурсов.
CVE-2025-30204golang-jwt — это реализация JSON Web Tokens на Go. Начиная с версии 3.2.0 и до версий 5.2.2 и 4.5.2, функция parse.ParseUnverified разделяет свой аргумент (который является недоверенными данными) на точки. В результате, при наличии вредоносного запроса, чей заголовок Authorization состоит из Bearer, за которым следуют много точек, вызов этой функции приводит к выделению памяти объёмом O(n) байт (где n — длина аргумента функции), с постоянным коэффициентом около 16 [1].
Источники:
- [1] https://github.com/golang-jwt/jwt/security/advisories/GHSA-mh63-6h87-95cp
CVE-2024-55628Suricata — это система обнаружения сетевых вторжений, система предотвращения вторжений и механизм мониторинга сетевой безопасности. До версии 7.0.8 сжатие имен ресурсов DNS может привести к тому, что небольшие DNS-сообщения будут содержать очень большие имена хостов, которые могут быть дорогостоящими для декодирования и привести к очень большим записям журнала DNS. Хотя существуют ограничения, они были слишком щедрыми. Эта проблема была решена в Suricata 7.0.8.
CVE-2024-45590body-parser - это промежуточное программное обеспечение для синтаксического анализа тела запроса Node.js. body-parser версий <1.20.3 уязвим для отказа в обслуживании, когда включено кодирование URL. Злоумышленник, использующий специально созданную полезную нагрузку, может наводнить сервер большим количеством запросов, что приведет к отказу в обслуживании. Эта проблема исправлена в версии 1.20.3.
CVE-2024-39743IBM MQ Operator 3.2.2 и IBM MQ Operator 2.0.24 IBM MQ Container Developer Edition уязвим для отказа в обслуживании, вызванного неправильным освобождением памяти. Удаленный злоумышленник может использовать эту уязвимость, чтобы заставить сервер потреблять ресурсы памяти. IBM X-Force ID: 297172.