CWE-650ВариантНеполный
Доверие методам HTTP-разрешений на стороне сервера
Сервер содержит механизм защиты, предполагающий, что любой URI, доступ к которому осуществляется методом HTTP GET, не вызовет изменения состояния соответствующего ресурса. Это может позволить злоумышленникам обойти предусмотренные ограничения доступа и проводить атаки на изменение и удаление ресурсов, поскольку ряд приложений допускает изменение состояния через GET.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-28787IBM Security Verify Access 10.0.0 - 10.0.7 и IBM Application Gateway 20.01 - 24.03 могут позволить удаленному злоумышленнику получить конфиденциальную личную информацию или вызвать отказ в обслуживании, используя специально созданный HTTP-запрос. IBM X-Force ID: 286584.
CVE-2024-45098IBM Aspera Faspex версий 5.0.0 - 5.0.9 может позволить пользователю обойти предполагаемые ограничения доступа и осуществить модификацию ресурсов.
CVE-2024-56339IBM WebSphere Application Server 9.0 и WebSphere Application Server Liberty от 17.0.0.3 до 25.0.0.7 могут позволить удаленному злоумышленнику обойти ограничения безопасности из-за несоблюдения конфигурации безопасности [1]. Уязвимость затрагивает продукты IBM WebSphere Application Server Liberty версий от 17.0.0.3 до 25.0.0.7 и IBM WebSphere Application Server версии 9.0. Для устранения уязвимости рекомендуется применить временное исправление или пакет исправлений, содержащий решение проблемы APAR PH64682 и APAR PH64683. Для WebSphere Application Server Liberty необходимо обновиться до минимального уровня исправлений, требуемого временным исправлением, и затем применить временное исправление, устраняющее PH64682, либо применить пакет исправлений 25.0.0.8 или более поздний. Для традиционного WebSphere Application Server версии 9.0 необходимо обновиться до минимального уровня исправлений и применить временное исправление, устраняющее PH64683, либо применить пакет исправлений 9.0.5.26 или более поздний [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7239955
CVE-2024-45097IBM Aspera Faspex версий 5.0.0 - 5.0.9 может позволить пользователю обойти предполагаемые ограничения доступа и осуществить модификацию ресурсов.
CVE-2025-21120Dell Avamar, версии до 19.12 с патчем 338905, исключая версию 19.10SP1 с патчем 338904, содержит уязвимость, связанную с доверием к HTTP-методам разрешения на стороне сервера. Злоумышленник с низким уровнем привилегий и удаленным доступом может потенциально использовать эту уязвимость, что приведет к раскрытию информации [1].
Источники:
- [1] https://www.dell.com/support/kbdoc/en-us/000347698/dsa-2025-271-security-update-for-dell-avamar-and-dell-avamar-virtual-edition-multiple-vulnerabilities
CVE-2024-45282Поля, находящиеся в состоянии «только для чтения» в Bank Statement Draft в приложении Manage Bank Statements, могут быть изменены методом MERGE. Свойство сущности OData, представляющее предположительно неизменяемый метод, не защищено от внешних изменений, что приводит к нарушениям целостности. Конфиденциальность и доступность не затронуты.
CVE-2023-50327IBM PowerSC 1.3, 2.0 и 2.1 использует небезопасные методы HTTP, которые могут позволить удаленному злоумышленнику выполнять несанкционированное изменение запроса файла. IBM X-Force ID: 275109.
CVE-2022-38115Уязвимость небезопасного метода, при которой раскрываются разрешенные HTTP-методы. Например, OPTIONS, DELETE, TRACE и PUT.
CVE-2026-42543IRIS - это веб-платформа для совместной работы, которая помогает респондентам по инцидентам обмениваться техническими деталями во время расследований. Версии до 2.4.28 уязвимы для атаки подделки запроса поперечного сайта, потому что они используют метод `GET` HTTP для изменения состояния на сервере. Версия 2.4.28 содержит патч.