CWE-408 · Некорректный порядок операций: раннее усиление

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-408БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Некорректный порядок операций: раннее усиление

Продукт позволяет субъекту выполнять ресурсоёмкую, но законную операцию до прохождения аутентификации или авторизации.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2026-41405OpenClaw до 2026.3.31 анализирует тела MS Teams, прежде чем выполнять проверку JWT, позволяя неаутентифицированным злоумышленникам вызвать истощение ресурсов. Удаленные злоумышленники могут отправлять вредоносные командные Webhook payloads в исчерпанные ресурсы сервера, обходя проверки аутентификации.

CVE-2022-2576В Eclipse Californium версии 2.0.0 - 2.7.2 и 3.0.0-3.5.0 возобновление DTLS-рукопожатия переходит к полному DTLS-рукопожатию при несоответствии параметров без использования HelloVerifyRequest. В частности, при использовании с наборами шифров на основе сертификатов это приводит к усилению сообщений (DDoS других пиров) и высокой загрузке ЦП (DoS собственного пира). Некорректное поведение происходит только при значениях DTLS_VERIFY_PEERS_ON_RESUMPTION_THRESHOLD больше 0.

CVE-2020-1657На устройствах SRX Series уязвимость в демоне key-management-daemon (kmd) Juniper Networks Junos OS позволяет злоумышленнику подделывать пакеты, предназначенные для IPSec-пиров, до установления ассоциации безопасности (SA), тем самым вызывая сбой в настройке канала IPSec. Постоянное получение этих поддельных пакетов может вызвать устойчивый отказ в обслуживании (DoS). Эта проблема затрагивает реализации IPv4 и IPv6. Эта проблема затрагивает Juniper Networks Junos OS на SRX Series: версии 12.3X48 до 12.3X48-D90; версии 15.1X49 до 15.1X49-D190; версии 17.4 до 17.4R2-S9, 17.4R3; версии 18.1 до 18.1R3-S9; версии 18.2 до 18.2R3; версии 18.3 до 18.3R1-S7, 18.3R2-S3, 18.3R3; версии 18.4 до 18.4R1-S6, 18.4R2-S3, 18.4R3; версии 19.1 до 19.1R1-S4, 19.1R2. Эта проблема не затрагивает выпуски 12.3 или 15.1, которые не являются выпусками SRX Series.

CVE-2026-41374OpenClaw до 2026.3.31 выполняет транскрипцию перед аудиозаписью Discord перед подтверждением авторизации участников, позволяя неаутентифицированным злоумышленникам потреблять ресурсы. Удаленные злоумышленники могут инициировать обработку аудио до полета без проверки списка допуска членов, чтобы вызвать истощение ресурсов.

CVE-2026-41331OpenClaw до 2026.3.31 содержит уязвимость потребления ресурсов в аудиопредполетной транскрипции Telegram, которая позволяет неавторизованным отправителям групп инициировать обработку транскрипции. Злоумышленники могут использовать недостаточное правоприменение для обеспечения потребления ресурсов или выставления счетов путем инициирования аудиопредполетных операций до введения авторизационных проверок.

CVE-2026-3592Решенители BIND уязвимы для усиленной атаки потребления/исчерпания ресурсов. Если регулятор жертвы делает запрос в специально созданную зону, резервизатор будет потреблять непропорциональные ресурсы. Эта проблема затрагивает версии BIND 9 с 9.11.0 до 9.16.50, 9.18.08, 9.18.48, 9.20.0 - 9.20.22, 9.21.20 - 9.21.21, 9.11.3-S1 - 9.16.50-S1, 9.18.11-S1 - 9.18.48-S1, и 9.20.9-S1 - 9.20.22-S1.