CWE-648БазаНеполный
Некорректное использование привилегированных API
Программный продукт не соблюдает требования API к вызову функции, требующей повышенных привилегий. Это может позволить злоумышленникам получить привилегии, спровоцировав некорректный вызов функции.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2024-11068Модем D-Link DSL6740C имеет уязвимость Incorrect Use of Privileged APIs, позволяющую неаутентифицированным удаленным злоумышленникам изменять пароль любого пользователя, используя API, тем самым предоставляя доступ к веб-службам, SSH и Telnet, используя учетную запись этого пользователя.
CVE-2023-4972Неправильное использование привилегированных API в Yepas Digital Yepas позволяет собирать данные, предоставленные пользователями. Эта проблема затрагивает Digital Yepas: до 1.0.1.
CVE-2022-2023Неправильное использование привилегированных API в репозитории GitHub polonel/trudesk до версии 1.2.4.
CVE-2019-1010178Fred MODX Revolution < 1.0.0-beta5 подвержен уязвимости: некорректное управление доступом - CWE-648. Воздействие: удаленное выполнение кода. Компонент: assets/components/fred/web/elfinder/connector.php. Вектор атаки: Загрузка PHP-файла или изменение данных в базе данных. Исправленная версия: https://github.com/modxcms/fred/commit/139cefac83b2ead90da23187d92739dec79d3ccd и https://github.com/modxcms/fred/commit/01f0a3d1ae7f3970639c2a0db1887beba0065246.
CVE-2026-41386OpenClaw до 2026.3.22 содержит уязвимость эскалации привилегий, когда коды настройки бутстрапа не связаны с предполагаемыми ролями и прицелами устройства во время сопряжения. Злоумышленники могут использовать это во время сопряжения устройств первого использования для эскалации привилегий за пределами их предполагаемой роли и масштаба.
CVE-2024-37018Контроллер OpenDaylight 0.15.3 позволяет отравлять топологию через API-запросы, поскольку приложение может манипулировать маршрутом, по которому идут пакеты отк discovery.
CVE-2026-41329OpenClaw до 2026.3.31 содержит уязвимость обхода песочницы, позволяющую злоумышленникам увеличивать привилегии через наследование контекста сердцебиения и манипулирование параметрами senderIsOwner. Злоумышленники могут использовать неправильный контекст, чтобы обойти ограничения песочницы и добиться несанкционированной эскалации привилегий.
CVE-2025-5997Неправилое использование уязвимости привилегированных API в Beamsec PhishPro позволяет злоупотребить привилегиями.
Эта проблема затрагивает PhishPro: до 7.5.4.2.
CVE-2023-28062Версии Dell PPDM 19.12, 19.11 и 19.10 содержат уязвимость неправильного управления доступом. Удаленный аутентифицированный злоумышленник с низкими привилегиями может потенциально использовать эту уязвимость, чтобы обойти предусмотренные ограничения доступа и выполнять несанкционированные действия.
CVE-2022-20956Уязвимость в веб-интерфейсе управления Cisco Identity Services Engine (ISE) может позволить аутентифицированному удаленному злоумышленнику обойти авторизацию и получить доступ к системным файлам.
Эта уязвимость связана с неправильным контролем доступа в веб-интерфейсе управления затронутого устройства. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос на затронутое устройство. Успешная эксплуатация может позволить злоумышленнику перечислять, загружать и удалять определенные файлы, к которым у него не должно быть доступа.
Cisco планирует выпустить обновления программного обеспечения, устраняющие эту уязвимость.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx ["https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-access-contol-EeufSUCx"]
CVE-2026-35669OpenClaw до 2026.3.25 содержит уязвимость пристрастий к эскалации в шлюзовых аутентифицированных HTTP-маршрутах плагинов, которые неправильно отчитываются оператором.admin объем времени выполнения независимо от объемов, предоставленных абоненту. Злоумышленники могут использовать этот обход границы, чтобы получить повышенные привилегии и выполнить несанкционированные административные действия.
CVE-2026-35663OpenClaw до 2026.3.25 содержит уязвимость эскалации привилегий, позволяющую операторам, не являющимся администраторами, самостоятельно запрашивать более широкие области во время повторного подключения к backend. Злоумышленники могут обойти требования к сопряжению, чтобы повторно подключиться как оператор.admin, получая несанкционированные административные привилегии.
CVE-2026-35639OpenClaw до 2026.3.22 содержит уязвимость к эскалации привилегий в методе device.pair.aprove, который позволяет оператору.сопряженному одобрению утверждать, что ожидает запросы на устройство с более широкими объемами оператора, чем у утверждающего. Злоумышленники могут использовать недостаточную проверку объема для увеличения привилегий для оператора.admin и достижения удаленного выполнения кода на инфраструктуре узла.
CVE-2025-7344EAI, разработанный компанией Digiwin, содержит уязвимость повышения привилегий, позволяющую удаленным злоумышленникам с обычными привилегиями повысить свои привилегии до уровня администратора через определенный API [1].
Источники:
- [1] https://www.twcert.org.tw/tw/cp-132-10272-5b691-1.html
CVE-2022-26323Уязвимость неправильного использования привилегированных API в OpenText™ Operations Bridge Manager, OpenText™ Operations Bridge Suite (Containerized), OpenText™ UCMDB (Classic и Containerized) позволяет осуществить повышение привилегий. Уязвимость может позволить аутентифицированным злоумышленникам повысить привилегии пользователя. Эта проблема затрагивает Operations Bridge Manager: до версии 2021.05; Operations Bridge Suite (Containerized): до версии 2021.05; UCMDB (Classic и Containerized): до версии 2021.05 [1][2].
Источники:
- [1] https://portal.microfocus.com/s/article/KM000039040?language=en_US
- [2] https://portal.microfocus.com/s/article/KM000039044?language=en_US