CWE-471БазаЧерновик
Изменение предположительно неизменяемых данных (MAID)
Продукт не обеспечивает надлежащей защиты предположительно неизменяемого элемента от модификации злоумышленником.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
CAPEC-384
Манипуляция сообщениями API приложения через атаку «человек посередине»
CAPEC-385
Подмена транзакций или событий через манипуляцию API приложения
CAPEC-386
Перенаправление навигации в API приложения
CAPEC-387
Перенаправление навигации для распространения вредоносного содержимого
CAPEC-388
Угон кнопок в API приложения
Связанные уязвимости
CVE-2022-25893Пакет vm2 версий до 3.9.10 уязвим для Arbitrary Code Execution из-за использования поиска прототипа для метода WeakMap.prototype.set. Эксплуатация этой уязвимости приводит к доступу к хост-объекту и компрометации песочницы.
CVE-2020-8158Уязвимость загрязнения прототипа в пакете TypeORM < 0.2.25 может позволить злоумышленникам добавлять или изменять свойства объекта, что приведет к дальнейшему отказу в обслуживании или атакам путем внедрения SQL-кода.
CVE-2020-8147Недостаток проверки входных данных в npm-пакете utils-extend версии 1.0.8 и более ранних версиях может привести к атаке с загрязнением прототипа, что может привести к удаленному выполнению кода или отказу в обслуживании приложений, использующих utils-extend.
CVE-2025-33136IBM Aspera Faspex версии 5.0.0 до 5.0.12 может позволить аутентифицированному пользователю получить конфиденциальную информацию или выполнить неавторизованные действия от имени другого пользователя из-за неправильной защиты предполагаемых неизменяемых данных [1]. Для устранения этой уязвимости IBM рекомендует обновить контейнерные образы до версии 5.0.12.1.
Источники:
- [1] https://www.ibm.com/support/pages/node/7234114
CVE-2018-3723Node-модуль defaults-deep версий до 0.2.4 страдает от уязвимости Modification of Assumed-Immutable Data (MAID), которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.
CVE-2018-3722Node-модуль merge-deep версий до 3.0.1 страдает от уязвимости Modification of Assumed-Immutable Data (MAID), которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.
CVE-2018-3720Node-модуль assign-deep версий до 0.4.7 страдает от уязвимости Modification of Assumed-Immutable Data (MAID), которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.
CVE-2024-9876Уязвимость Modification of Assumed-Immutable Data (MAID) в ABB ANC, ABB ANC-L, ABB ANC-mini. Эта проблема затрагивает ANC версии до 1.1.4; ANC-L версии до 1.1.4; ANC-mini версии до 1.1.4 [1]. Источники:
- [1] https://search.abb.com/library/Download.aspx?DocumentID=2CRT000006&LanguageCode=en&DocumentPartId=PDF&Action=Launch
CVE-2022-2390В приложениях, разработанных с помощью Google Play Services SDK, неправильно установлен флаг изменяемости для PendingIntents, которые были переданы в службу уведомлений. Поскольку Google Play services SDK так широко используется, эта ошибка затрагивает многие приложения. Для затронутого приложения эта ошибка позволит злоумышленнику получить доступ ко всем неэкспортированным поставщикам и/или получить доступ к другим поставщикам, к которым у жертвы есть разрешения. Мы рекомендуем обновиться до версии 18.0.2 Play Service SDK, а также пересобрать и повторно развернуть приложения.
CVE-2024-55551Проблема была обнаружена в драйвере Exasol JDBC до 24.2.1 (2024-12-10). Злоумышленники могут инжектировать вредоносные параметры в JDBC URL, вызывая инъекцию JNDI в процессе, когда JDBC Драйвер использует этот URL для подключения к базе данных. Это может привести к удаленному выполнению кода.
CVE-2022-21824Из-за логики форматирования функции "console.table()" было небезопасно разрешать передачу пользовательского ввода в параметр "properties", одновременно передавая простой объект как минимум с одним свойством в качестве первого параметра, которым может быть "__proto__". Загрязнение прототипа имеет очень ограниченный контроль, поскольку позволяет присваивать только пустую строку числовым ключам прототипа объекта. Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2 и >= 17.3.1 используют нулевой прототип для объекта, которому присваиваются эти свойства.
CVE-2020-2604Уязвимость в продукте Java SE, Java SE Embedded от Oracle Java SE (компонент: Serialization). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u241, 8u231, 11.0.5 и 13.0.1; Java SE Embedded: 8u231. Сложная для эксплуатации уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Успешные атаки с использованием этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание. Эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих приложения Java Web Start или апплеты Java (в Java SE 8) в изолированной среде, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эту уязвимость также можно использовать с помощью API в указанном компоненте, например, через веб-службу, которая предоставляет данные API. Базовая оценка CVSS 3.0 — 8.1 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVE-2015-8967arch/arm64/kernel/sys.c в ядре Linux до версии 4.0 позволяет локальным пользователям обходить механизм защиты "strict page permissions" и изменять таблицу системных вызовов и, следовательно, получать привилегии, используя доступ на запись.
CVE-2020-8268Уязвимость загрязнения прототипа в npm-пакете json8-merge-patch < 1.0.3 может позволить злоумышленникам внедрять или изменять методы и свойства глобального конструктора объектов.
CVE-2023-2904Портал External Visitor Manager HID SAFE версий с 5.8.0 по 5.11.3 уязвим для манипуляций в веб-полях в интерфейсе прикладного программирования (API). Злоумышленник может войти в систему, используя учетные данные, доступные через запрос, сгенерированный внутренним пользователем, а затем манипулировать идентификатором посетителя в веб-API, чтобы получить доступ к личным данным других пользователей. Не существует ограничений на количество запросов, которые можно отправлять на веб-сервер HID SAFE, поэтому злоумышленник также может использовать эту уязвимость для создания условия отказа в обслуживании.