CWE-636КлассЧерновик
Отсутствие безопасного сбоя («открытый сбой»)
При возникновении ошибки или сбоя архитектура продукта требует перехода в состояние, менее защищённое по сравнению с другими доступными вариантами, например выбора наиболее слабого алгоритма шифрования или применения наиболее разрешительных ограничений контроля доступа.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-22034Snuffleupagus is a module that raises the cost of attacks against website by killing bug classes and providing a virtual patching system. On deployments of Snuffleupagus prior to version 0.13.0 with the non-default upload validation feature enabled and configured to use one of the upstream validation scripts based on Vulcan Logic Disassembler (VLD) while the VLD extension is not available to the CLI SAPI, all files from multipart POST requests are evaluated as PHP code. The issue was fixed in version 0.13.0.
CVE-2024-43532Уязвимость повышения привилегий службы удаленного реестра.
CVE-2021-1578Уязвимость в конечной точке API Cisco Application Policy Infrastructure Controller (APIC) и Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC) может позволить прошедшему проверку подлинности удаленному злоумышленнику повысить привилегии до администратора на уязвимом устройстве. Эта уязвимость связана с неправильной настройкой политики по умолчанию. Злоумышленник может воспользоваться этой уязвимостью, используя непривилегированные учетные данные для Cisco ACI Multi-Site Orchestrator (MSO) для отправки определенного API-запроса на управляемое устройство Cisco APIC или Cloud APIC. Успешная эксплуатация может позволить злоумышленнику получить учетные данные администратора на уязвимом устройстве.
CVE-2025-54870VTun-ng - это виртуальный туннель поверх сети TCP/IP. В версиях 3.0.17 и ниже ошибка инициализации модулей шифрования может привести к возврату к незашифрованному соединению из-за недостаточной обработки ошибок. Эта ошибка была впервые представлена в версии VTun-ng 3.0.12. Исправление доступно в версии 3.0.18. В качестве обходного решения рекомендуется избегать использования blowfish-256 [1].
Источники:
- [1] https://github.com/leakingmemory/vtun-ng/security/advisories/GHSA-m3jc-27c6-2wrf
- [2] https://github.com/leakingmemory/vtun-ng/commit/8c63982b6c487c52db1d56ab94c266f0bc857140
CVE-2023-4030Сообщалось об уязвимости в BIOS для ThinkPad P14s Gen 2, P15s Gen 2, T14 Gen 2 и T15 Gen 2, которая могла привести к восстановлению небезопасных настроек системы в случае повреждения BIOS.
CVE-2024-8185Кластеры Vault Community и Vault Enterprise («Vault»), использующие интегрированную систему хранения данных Vault, уязвимы для атак типа «отказ в обслуживании» (DoS) из-за исчерпания памяти через конечную точку API присоединения к кластеру Raft. Злоумышленник может отправлять большой объем запросов к конечной точке, что может привести к чрезмерному потреблению системных ресурсов памяти Vault, что потенциально может привести к сбою базовой системы и самого процесса Vault.
Эта уязвимость, CVE-2024-8185, исправлена в Vault Community 1.18.1 и Vault Enterprise 1.18.1, 1.17.8 и 1.16.12.
CVE-2021-3614Сообщалось об уязвимости в некоторых системах Lenovo Notebook, которая может позволить злоумышленнику с физическим доступом повысить привилегии при определенных условиях во время обновления BIOS, выполняемого Lenovo Vantage.
CVE-2024-2660Метод аутентификации по TLS-сертификатам Vault и Vault Enterprise некорректно проверял ответы OCSP, когда был настроен один или несколько источников OCSP. Эта уязвимость, CVE-2024-2660, затрагивает Vault и Vault Enterprise 1.14.0 и выше и исправлена в Vault 1.16.0 и Vault Enterprise 1.16.1, 1.15.7 и 1.14.11.
CVE-2020-16125gdm3 версий до 3.36.2 или 3.38.2 запускает gnome-initial-setup, если gdm3 не может своевременно связаться со службой accountservice через dbus; в Ubuntu (и, возможно, в производных) это может быть связано с дополнительной проблемой, которая может позволить локальному пользователю создать новую привилегированную учетную запись.
CVE-2023-22943В Splunk Add-on Builder (AoB) версий ниже 4.1.2 и Splunk CloudConnect SDK версий ниже 3.1.3 запросы к сторонним API через REST API Modular Input неправильно возвращаются к использованию HTTP для подключения после сбоя подключения по HTTPS.
CVE-2025-41760An administrator may attempt to block all traffic by configuring a pass filter with an empty table. However, in UBR, an empty list does not enforce any restrictions and allows all network traffic to pass unfiltered.
CVE-2025-41759An administrator may attempt to block all networks by specifying "\*" or "all" as the network identifier. However, these values are not supported and do not trigger any validation error. Instead, they are silently interpreted as network 0 which results in no networks being blocked at all.
CVE-2025-21210Уязвимость раскрытия информации BitLocker в Windows.
CVE-2026-27448pyOpenSSL is a Python wrapper around the OpenSSL library. Starting in version 0.14.0 and prior to version 26.0.0, if a user provided callback to `set_tlsext_servername_callback` raised an unhandled exception, this would result in a connection being accepted. If a user was relying on this callback for any security-sensitive behavior, this could allow bypassing it. Starting in version 26.0.0, unhandled exceptions now result in rejecting the connection.