CWE-457ВариантЧерновик
Использование неинициализированной переменной
Код использует переменную, которая не была инициализирована, что приводит к непредсказуемым или непредвиденным результатам.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-6748Унитаризованная память в компоненте Audio/Video: Web Codecs. Эта уязвимость была исправлена в Firefox 150, Firefox ESR 140.10, Thunderbird 150 и Thunderbird 140.10.
CVE-2022-40510Повреждение памяти из-за копирования буфера без проверки размера ввода в Audio во время голосового вызова с кодеком EVS.
CVE-2022-21217В функциональности TestEmail устройства существует уязвимость записи за пределами выделенной области памяти в reolink RLC-410W v3.0.0.136_20121102. Специально созданный сетевой запрос может привести к записи за пределами выделенной области памяти. Злоумышленник может отправить HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2021-40418При анализе файла, который отправляется в службу DPDecoder в качестве задания, R3D SDK ошибочно пропустит назначение свойства, содержащего объект, ссылающийся на UUID, который был проанализирован из кадра внутри видеоконтейнера. После уничтожения объекта, которому он принадлежит, неинициализированный член будет разыменован, а затем уничтожен с использованием виртуального деструктора объекта. Из-за того, что свойство объекта не инициализировано, это может привести к разыменованию произвольного указателя для таблицы виртуальных методов объекта, что может привести к выполнению кода в контексте приложения.
CVE-2025-5749Уязвимость WOLFBOX Level 2 EV Charger позволяет злоумышленникам, находящимся в локальной сети, обойти аутентификацию из-за неинициализированной переменной в обработке криптографических ключей. Уязвимость имеет средний уровень серьезности (CVSS 6.3). Для эксплуатации этой уязвимости не требуется аутентификация.
Источники:
- [1] https://www.zerodayinitiative.com/advisories/ZDI-25-328/
CVE-2024-6990Неинициализированное использование в Dawn в Google Chrome на Android до версии 127.0.6533.88 позволило удаленному злоумышленнику потенциально выполнить выход за границы памяти через специально созданную HTML-страницу. (Серьезность безопасности Chromium: критическая)
CVE-2023-6324ThroughTek Kalay SDK использует предсказуемое значение PSK в сессии DTLS при обнаружении неожиданного идентификатора PSK.
CVE-2023-32213При чтении файла неинициализированное значение могло быть использовано в качестве предела чтения. Эта уязвимость затрагивает Firefox < 113, Firefox ESR < 102.11 и Thunderbird < 102.11.
CVE-2022-35414softmmu/physmem.c в QEMU до 7.0.0 может выполнять неинициализированное чтение по пути translate_fail, что приводит к сбою io_readx или io_writex. ПРИМЕЧАНИЕ: третья сторона заявляет, что здесь применяется вариант использования без виртуализации в ссылке qemu.org, т. е. «Ошибки, влияющие на вариант использования без виртуализации, в настоящее время не считаются ошибками безопасности.
CVE-2022-31741Специально созданное сообщение CMS могло быть обработано неправильно, что привело к недопустимому чтению памяти и, возможно, к дальнейшему повреждению памяти. Эта уязвимость затрагивает Thunderbird < 91.10, Firefox < 101 и Firefox ESR < 91.10.
CVE-2025-58071Когда IPsec настроен на систему BIG-IP, нераскрытый трафик может привести к прекращению микрокерна управления трафиком (TMM). Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2025-20271Отказ в обслуживании в Cisco Meraki MX and Z Series AnyConnect VPN
CVE-2024-47540GStreamer - это библиотека для построения графов компонентов обработки мультимедиа. В функции gst_matroska_demux_add_wvpk_header в matroska-demux.c обнаружена уязвимость неинициализированной стековой переменной. Когда size < 4, программа вызывает gst_buffer_unmap с неинициализированной переменной map. Затем, в функции gst_memory_unmap, программа попытается отобразить буфер с использованием неинициализированной переменной map, что приведет к перехвату указателя функции, поскольку произойдет переход к mem->allocator->mem_unmap_full или mem->allocator->mem_unmap. Эта уязвимость может позволить злоумышленнику перехватить поток выполнения, что потенциально приведет к выполнению кода. Эта уязвимость исправлена в версии 1.24.10.
CVE-2020-27124Уязвимость в обработчике SSL/TLS Cisco Adaptive Security Appliance (ASA) Software может позволить неаутентифицированному удаленному злоумышленнику вызвать неожиданную перезагрузку затронутого устройства, что приведет к отказу в обслуживании (DoS). Уязвимость связана с неправильной обработкой ошибок в установленных SSL/TLS-соединениях. Злоумышленник может воспользоваться этой уязвимостью, установив SSL/TLS-соединение с затронутым устройством, а затем отправив вредоносное SSL/TLS-сообщение в рамках этого соединения. Успешная эксплуатация может позволить злоумышленнику вызвать перезагрузку устройства. Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных путей, устраняющих эту уязвимость, не существует.
CVE-2025-2287Уязвимость выполнения локального кода существует в Rockwell Automation Arena® из-за неинициализированного указателя. Эта уязвимость возникает из-за неправильной проверки данных, предоставленных пользователем. Если она будет эксплуатирована, злоумышленник сможет раскрыть информацию и выполнить произвольный код в системе. Для эксплуатации уязвимости легитимный пользователь должен открыть вредоносный файл DOE [1].
Уязвимость затрагивает версии Arena® 16.20.08 и более ранние. Исправленная версия - 16.20.09.
Источники:
- [1] https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1726.html