CWE-419БазаЧерновик
Незащищённый основной канал
Продукт использует основной канал для администрирования или ограниченной функциональности, однако не обеспечивает надлежащей защиты этого канала.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2024-50588Неаутентифицированный злоумышленник, имеющий доступ к локальной сети
медицинского учреждения, может использовать известные учетные данные по умолчанию для получения удаленного доступа DBA
к базе данных Elefant Firebird. Данные в базе данных
включают данные пациентов и учетные данные для входа, среди других конфиденциальных данных.
Кроме того, это позволяет злоумышленнику создавать и перезаписывать произвольные
файлы в файловой системе сервера с правами базы данных Firebird
("NT AUTHORITY\SYSTEM").
CVE-2023-30859Triton is a Minecraft plugin for Spigot and BungeeCord that helps you translate your Minecraft server. The CustomPayload packet allows you to execute commands on the spigot/bukkit console. When you enable bungee mode in the config it will enable the bungee bridge and the server will begin to broadcast the 'triton:main' plugin channel. Using this plugin channel you are able to send a payload packet containing a byte (2) and a string (any spigot command). This could be used to make yourself a server operator and be used to extract other user information through phishing (pretending to be an admin), many servers use essentials so the /geoip command could be available to them, etc. This could also be modified to allow you to set the servers language, set another players language, etc. This issue affects those who have bungee enabled in config. This issue has been fixed in version 3.8.4.
CVE-2024-2414Основной канал не защищен на маршрутизаторе Movistar 4G, что затрагивает версию E S_WLD71-T1_v2.0.201820. На этом устройстве служба 'adb' открыта на порту 5555 и предоставляет доступ к оболочке с правами root.
CVE-2018-12539В Eclipse OpenJ9 версии 0.8 пользователи, отличные от владельца процесса, могут использовать Java Attach API для подключения к Eclipse OpenJ9 или IBM JVM на той же машине и использовать операции Attach API, которые включают возможность выполнения ненадежного машинного кода. Attach API включен по умолчанию на Windows, Linux и AIX JVM и может быть отключен с помощью параметра командной строки -Dcom.ibm.tools.attach.enable=no.
CVE-2018-12120Node.js: Все версии до Node.js 6.15.0: Порт отладчика 5858 прослушивает любой интерфейс по умолчанию: Когда отладчик включен с помощью `node --debug` или `node debug`, он прослушивает порт 5858 на всех интерфейсах по умолчанию. Это может позволить удаленным компьютерам подключаться к порту отладки и оценивать произвольный JavaScript. Интерфейс по умолчанию теперь localhost. Всегда можно было запустить отладчик на определенном интерфейсе, например `node --debug=localhost`. Отладчик был удален в Node.js 8 и заменен инспектором, поэтому ни одна из версий 8 и более поздних не является уязвимой.
CVE-2025-24030Envoy Gateway - это проект с открытым исходным кодом для управления Envoy Proxy в качестве автономного или Kubernetes-приложения шлюза. Пользователь с доступом к кластеру Kubernetes может использовать атаку обхода пути для выполнения команд интерфейса администратора Envoy на прокси-серверах, управляемых любой версией Envoy Gateway до 1.2.6. Интерфейс администратора можно использовать для завершения процесса Envoy и извлечения конфигурации Envoy (возможно, содержащей конфиденциальные данные). Версия 1.2.6 устраняет эту проблему. В качестве обходного пути API `EnvoyProxy` можно использовать для применения патча конфигурации начальной загрузки, который ограничивает доступ строго конечной точке статистики prometheus. Ниже приведен пример такого патча начальной загрузки.
CVE-2019-11248Конечная точка отладки /debug/pprof предоставляется через неаутентифицированный порт Kubelet healthz. Конечная точка go pprof предоставляется через порт healthz Kubelet. Эта конечная точка отладки может потенциально раскрыть конфиденциальную информацию, такую как внутренние адреса памяти и конфигурация Kubelet, или для ограниченного отказа в обслуживании. Затронуты версии до 1.15.0, 1.14.4, 1.13.8 и 1.12.10. Проблема имеет среднюю степень серьезности, но не раскрывается конфигурацией по умолчанию.
CVE-2022-33932Dell PowerScale OneFS, версии с 9.0.0 до 9.1.0.19 включительно, 9.2.1.12, 9.3.0.6 и 9.4.0.2, содержат уязвимость незащищенного основного канала. Неаутентифицированный сетевой злоумышленник может воспользоваться этой уязвимостью, что приведет к отказу в обслуживании файловой системы.
CVE-2024-39886Приложение TONE store версии 3.4.2 и более ранних содержит проблему с незащищенным основным каналом. Поскольку приложение TONE store обменивается данными с веб-сайтом TONE store в виде открытого текста, атака типа "человек посередине" может позволить злоумышленнику получить и/или изменить сообщения затронутого приложения.