CWE-460БазаЧерновик
Некорректная очистка ресурсов при выброске исключения
Продукт не сбрасывает своё состояние или некорректно сбрасывает его при выброске исключения, что приводит к непредвиденному состоянию или непредвиденному потоку управления.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2022-22150Уязвимость, связанная с повреждением памяти, существует в движке JavaScript PDF Reader от Foxit Software версии 11.1.0.52543. Специально созданный PDF-документ может вызвать исключение, которое неправильно обрабатывается, в результате чего движок переходит в недействительное состояние, что может привести к повреждению памяти и произвольному выполнению кода. Злоумышленнику необходимо обмануть пользователя, чтобы он открыл вредоносный файл, чтобы вызвать эту уязвимость. Эксплуатация также возможна, если пользователь посещает специально созданный вредоносный сайт, если расширение плагина браузера включено.
CVE-2022-4744В функции драйвера устройства TUN/TAP в ядре Linux была обнаружена ошибка двойного освобождения, возникающая в том, как пользователь регистрирует устройство, когда функция register_netdevice завершается с ошибкой (нотификатор NETDEV_REGISTER). Этот недостаток позволяет локальному пользователю аварийно завершить систему или потенциально повысить свои полномочия.
CVE-2018-1000199Ядро Linux версии 3.18 содержит опасную функцию в modify_user_hw_breakpoint(), которая может привести к сбою и, возможно, к повреждению памяти. Эта атака, по-видимому, может быть использована посредством локального выполнения кода и возможности использования ptrace. Эта уязвимость, по-видимому, была исправлена в git commit f67b15037a7a50c57f72e69a6d59941ad90a0f0f.
CVE-2025-30157Envoy – это облачный высокопроизводительный прокси-менеджер уровня edge/middle/service. Перед версиями 1.33.1, 1.32.4, 1.31.6 и 1.30.10, HTTP-фильтр ext_proc Envoy подвергался риску сбоя, если локальный ответ отправляется внешнему серверу из-за проблемы с жизненным циклом фильтра. Известная ситуация – это сбой при выполнении рукопожатия websocket, который вызовет локальный ответ, что приведет к сбою Envoy. Эта уязвимость устранена в 1.33.1, 1.32.4, 1.31.6 и 1.30.10.
CVE-2024-0316Неправильная очистка уязвимости в исключениях, возникающих в FireEye Endpoint Security, затрагивающая версию 5.2.0.958244. Эта уязвимость может позволить злоумышленнику отправлять несколько пакетов запросов параметру containment_notify/preview, что может привести к сбою в обслуживании.
CVE-2023-46393В gougucms v4.08.18 обнаружена уязвимость отравления сброса пароля, которая позволяет злоумышленникам произвольно сбрасывать пароли пользователей через специально созданный пакет.
CVE-2018-18073Artifex Ghostscript позволяет злоумышленникам обходить механизм защиты песочницы, используя раскрытие системных операторов в сохраненном стеке выполнения в объекте ошибки.
CVE-2018-17961Artifex Ghostscript 9.25 и более ранние версии позволяют злоумышленникам обходить механизм защиты песочницы через векторы, связанные с настройкой обработчика ошибок. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2018-17183.
CVE-2018-17183Artifex Ghostscript до версии 9.25 разрешал таблицу исключений ошибок, доступную для записи пользователю, которая могла быть использована удаленными злоумышленниками, способными предоставлять специально созданный PostScript, чтобы потенциально перезаписать или заменить обработчики ошибок для внедрения кода.
CVE-2024-20354Уязвимость в обработке зашифрованных беспроводных кадров программного обеспечения Cisco Aironet Access Point (AP) может позволить не прошедшему проверку подлинности смежному злоумышленнику вызвать отказ в обслуживании (DoS) на уязвимом устройстве.
Эта уязвимость связана с неполной очисткой ресурсов при отбрасывании определенных неправильно сформированных кадров. Злоумышленник может воспользоваться этой уязвимостью, подключившись в качестве беспроводного клиента к уязвимой точке доступа и отправив определенные неправильно сформированные кадры по беспроводному соединению. Успешная эксплуатация может позволить злоумышленнику вызвать ухудшение обслуживания других клиентов, что потенциально может привести к полному отказу в обслуживании.
CVE-2021-34716Уязвимость в веб-интерфейсе управления Cisco Expressway Series и Cisco TelePresence Video Communication Server (VCS) может позволить аутентифицированному удаленному злоумышленнику выполнить произвольный код в базовой операционной системе от имени пользователя root. Эта уязвимость связана с неправильной обработкой определенных созданных программных образов, которые загружаются на уязвимое устройство. Злоумышленник может воспользоваться этой уязвимостью, пройдя аутентификацию в системе как пользователь с правами администратора, а затем загрузив определенные созданные программные образы на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код в базовой операционной системе от имени пользователя root.
CVE-2026-20118A vulnerability in the handling of an Egress Packet Network Interface (EPNI) Aligner interrupt in Cisco IOS XR Software for Cisco Network Convergence System (NCS) 5500 Series with NC57 line cards and Cisco NCS 5700 Routers and Cisco IOS XR Software for Third Party Software could allow an unauthenticated, remote attacker to cause the network processing unit (NPU) and ASIC to stop processing, preventing traffic from traversing the interface.
This vulnerability is due to the corruption of packets in specific cases when an EPNI Aligner interrupt is triggered while an affected device is experiencing heavy transit traffic. An attacker could exploit this vulnerability by sending a continuous flow of crafted packets to an interface of the affected device. A successful exploit could allow the attacker to cause persistent, heavy packet loss, resulting in a denial of service (DoS) condition.
Note: If active exploitation of this vulnerability is suspected, contact the Cisco Technical Assistance Center (TAC) or your contracted maintenance provider.
Cisco has assigned this security advisory a Security Impact Rating (SIR) of High rather than Medium as the score indicates. This change was made because the affected device operates within a critical network segment where compromise could lead to significant disruption or exposure, thereby elevating the overall risk beyond the base technical severity.
CVE-2025-32439pleezer is a headless Deezer Connect player. Hook scripts in pleezer can be triggered by various events like track changes and playback state changes. In versions before 0.16.0, these scripts were spawned without proper process cleanup, leaving zombie processes in the system's process table. Even during normal usage, every track change and playback event would leave behind zombie processes. This leads to inevitable resource exhaustion over time as the system's process table fills up, eventually preventing new processes from being created. The issue is exacerbated if events occur rapidly, whether through normal use (e.g., skipping through a playlist) or potential manipulation of the Deezer Connect protocol traffic. This issue has been fixed in version 0.16.0.
CVE-2017-9657В определенных сетевых условиях 802.11 возможна частичная повторная ассоциация монитора Philips IntelliVue MX40 версии B.06.18 WLAN с центральной станцией мониторинга. В этом состоянии центральная станция мониторинга может указывать, что MX40 не подключен или не связан с центральным монитором и, следовательно, должен работать в локальном режиме мониторинга (локальное включение звука, включение экрана), но сам MX40 WLAN вместо этого может по-прежнему работать в режиме телеметрии (локальное отключение звука, выключение экрана). Если у пациента возникает событие тревоги, и клинический персонал ожидает, что MX40 обеспечит локальную сигнализацию, когда она недоступна с локального устройства, может произойти задержка лечения. Базовая оценка CVSS v3: 6.5, строка вектора CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Philips выпустила обновление программного обеспечения, версию B.06.18, чтобы исправить неправильную очистку уязвимости выброшенного исключения и реализовать меры по снижению риска, связанного с неправильной обработкой уязвимости исключительных условий. Обновление программного обеспечения реализует обмен сообщениями и сигнализацию на MX40 и на центральной станции мониторинга, когда MX40 отключается от точки доступа.
CVE-2025-69652GNU Binutils thru 2.46 readelf contains a vulnerability that leads to an abort (SIGABRT) when processing a crafted ELF binary with malformed DWARF abbrev or debug information. Due to incomplete state cleanup in process_debug_info(), an invalid debug_info_p state may propagate into DWARF attribute parsing routines. When certain malformed attributes result in an unexpected data length of zero, byte_get_little_endian() triggers a fatal abort. No evidence of memory corruption or code execution was observed; the impact is limited to denial of service.