CWE-421 · Состояние гонки при доступе к альтернативному каналу

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-421БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Состояние гонки при доступе к альтернативному каналу

Продукт открывает альтернативный канал для связи с авторизованным пользователем, однако этот канал доступен для других субъектов.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-34438Состояние гонки в некотором встроенном ПО Intel(R) NUC BIOS может позволить привилегированному пользователю потенциально включить повышение привилегий через локальный доступ.

CVE-2023-32256В компоненте ksmbd ядра Linux обнаружена ошибка. Условие гонки между операцией закрытия smb2 и выходом из системы при многоканальных соединениях может привести к проблеме use-after-free. Атакующий может использовать эту уязвимость для раскрытия конфиденциальной информации на уязвимых установках ядра Linux. Аутентификация не требуется для эксплуатации этой уязвимости, но уязвимы только системы с включенным ksmbd. Конкретный недостаток заключается в обработке команд SMB2_QUERY_INFO и SMB2_LOGOFF. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций над объектом. Атакующий может использовать это в сочетании с другими уязвимостями для выполнения произвольного кода в контексте ядра [1][2][3]. Источники: - [1] https://access.redhat.com/security/cve/CVE-2023-32256 - [2] https://bugzilla.redhat.com/show_bug.cgi?id=2385885 - [3] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=abcc506a9a71976a8b4c9bf3ee6efd13229c1e19 - [4] https://www.zerodayinitiative.com/advisories/ZDI-23-704/

CVE-2023-43687Проблема была обнаружена в Malwarebytes до 4.6.14.326 и до 5.1.5.116 (и Nebula 2020-10-21 и более поздней). Существует условие Race, которое приводит к исполнению кода из-за отсутствия блокировок между проверкой и выполнением файлов.

CVE-2023-41090Состояние гонки в некотором программном обеспечении Intel(R) MAS до версии 2.3 может позволить привилегированному пользователю потенциально включить повышение привилегий через локальный доступ.

CVE-2023-34349Состояние гонки в некоторой прошивке Intel(R) NUC BIOS может позволить привилегированному пользователю потенциально повысить свои привилегии через локальный доступ.

CVE-2022-3567В ядре Linux обнаружена уязвимость и классифицирована как проблематичная. Эта уязвимость затрагивает функцию inet6_stream_ops/inet6_dgram_ops компонента IPv6 Handler. Манипулирование приводит к состоянию гонки. Рекомендуется применить патч для устранения этой проблемы. VDB-211090 - идентификатор, присвоенный этой уязвимости.

CVE-2023-22310Состояние гонки в некоторых инструментах Intel(R) Aptio* V UEFI Firmware Integrator Tools может позволить прошедшему проверку подлинности пользователю потенциально вызвать отказ в обслуживании через локальный доступ.

CVE-2023-22276Состояние гонки в прошивке для некоторых контроллеров и адаптеров Intel(R) Ethernet серии E810 до версии 1.7.2.4 может позволить аутентифицированному пользователю потенциально вызвать отказ в обслуживании через локальный доступ.

CVE-2023-40536Состояние гонки в некотором программном обеспечении Intel(R) PROSet/Wireless WiFi для Windows до версии 23.20 может позволить неаутентифицированному пользователю потенциально вызвать отказ в обслуживании через смежный доступ.