V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-653КлассЧерновик
Абстракция: Класс
Статус: Черновик
Источник ↗

Некорректная изоляция или разграничение

Программный продукт не обеспечивает надлежащее разграничение или изоляцию функциональности, процессов или ресурсов, требующих различных уровней привилегий, прав или разрешений.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2026-34775Electron - это фреймворк для написания кроссплатформированных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.4, 40.8.4 и 41.0.0, nodeIntegrationInWorker WebPreference не был правильно оформлен во всех конфигурациях. В некоторых сценариях обмена процессами работники, порожденные в кадрах, настроенных с nodeIntegrationInWorker: falses все еще может принимать интеграцию Node.js. Приложения затрагиваются только в том случае, если они позволяют nodeIntegrationInWorker. Приложения, которые не используют nodeIntegrationInWorker, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.4, 40.8.4 и 41.0.0.
CVE-2025-1974В Kubernetes была обнаружена проблема безопасности, при которой при определенных условиях неаутентифицированный злоумышленник с доступом к сети подов может получить возможность выполнять произвольный код в контексте контроллера ingress-nginx. Это может привести к раскрытию секретов, доступных контроллеру. (Обратите внимание, что в дефолтной установке контроллер может получить доступ ко всем секретам в кластере.)
CVE-2024-33768В lunasvg v2.3.9 обнаружено нарушение сегментации через компонент composition_solid_source_over.
CVE-2026-0542ServiceNow устраняет уязвимость удаленного выполнения кода, которая была идентифицирована в платформе ServiceNow AI. Эта уязвимость может позволить неаутентифицированному пользователю в определенных обстоятельствах выполнить код в Sandbox ServiceNow.    ServiceNow решил эту уязвимость, развернув обновление безопасности для размещенных экземпляров. Соответствующие обновления безопасности также были предоставлены клиентам и партнерам ServiceNow. Кроме того, уязвимость рассматривается в перечисленных патчах и горячих исправлениях. Хотя в настоящее время мы не знаем об эксплуатации против инстанций клиентов, мы рекомендуем клиентам оперативно применять соответствующие обновления или обновления, если они еще этого не сделали.
CVE-2025-4083Уязвимость изоляции процессов в Firefox возникла из-за неправильной обработки URI javascript:, что позволяет содержимому выполняться в процессе родительского документа вместо предполагаемого фрейма, потенциально допуская обход песочницы. Эта уязвимость затрагивает Firefox версии до 138, Firefox ESR до 128.10, Firefox ESR до 115.23, Thunderbird до 138 и Thunderbird до 128.10 [1]. Источники: - [1] https://www.mozilla.org/security/advisories/mfsa2025-28/
CVE-2026-40968Когда аутентифицированному пользователю отказывают в доступе к методу gRPC, его аутентифицированная личность остается привязанной к потоку работника gRPC и может быть унаследована последующим неаутентованным запросом на той же теме. Это может позволить последующему пользователю получить перегнутые разрешения. Затронутые версии: Весенний гРПК: 1.0.0 - 1.0.2 (зафиксирован в 1.0.3). Пострадают и более старые, неподдерживаемые версии.
CVE-2025-5476Sony XAV-AX8500 Bluetooth Неправильная Аутентификация Изоляции Обход Уязвимости. Эта уязвимость позволяет сеяным злоумышленникам обходить аутентификацию на затронутых устройствах Sony XAV-AX8500. Аутентификация не требуется для использования этой уязвимости. Конкретный недостаток существует в рамках реализации связей ACL-U. Проблема возникает из-за отсутствия изоляции канала L2CAP. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Это был ZDI-CAN-26284.
CVE-2024-20285Уязвимость в интерпретаторе Python Cisco NX-OS Software может позволить прошедшему проверку подлинности локальному злоумышленнику с низкими привилегиями выйти из песочницы Python и получить несанкционированный доступ к базовой операционной системе устройства. Уязвимость связана с недостаточной проверкой вводимых пользователем данных. Злоумышленник может воспользоваться этой уязвимостью, манипулируя определенными функциями в интерпретаторе Python. Успешная эксплуатация может позволить злоумышленнику выйти из песочницы Python и выполнять произвольные команды в базовой операционной системе с привилегиями прошедшего проверку подлинности пользователя.  Примечание: Злоумышленник должен пройти проверку подлинности с привилегиями выполнения Python, чтобы воспользоваться этими уязвимостями. Для получения дополнительной информации о привилегиях выполнения Python см. документацию по конкретному продукту, например раздел руководства по программируемости Cisco Nexus 9000 Series NX-OS.
CVE-2025-34201Vasion Print (ранее PrinterLogic) Virtual Appliance Host и Application (развертывания VA и SaaS) запускают множество контейнеров Docker в общих внутренних сетях без межсетевого экранирования или сегментации между экземплярами. Компрометация любого отдельного контейнера позволяет получить прямой доступ к внутренним службам (HTTP, Redis, MySQL и т. д.) в сети overlay. Из скомпрометированного контейнера злоумышленник может достичь и использовать другие службы, что позволяет выполнять боковое перемещение, кражу данных и полную компрометацию системы [1]. Источники: - [1] https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html#va-lack-of-fw - [2] https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm - [3] https://help.printerlogic.com/va/Print/Security/Security-Bulletins.htm - [4] https://www.vulncheck.com/advisories/vasion-print-printerlogic-lack-of-network-segmentation-between-docker-instances
CVE-2024-0136NVIDIA Container Toolkit содержит уязвимость неправильной изоляции, из-за которой специально созданный образ контейнера может привести к тому, что ненадежный код получит доступ на чтение и запись к устройствам хоста. Эта уязвимость присутствует только в том случае, если NVIDIA Container Toolkit настроен нестандартным образом. Успешная эксплуатация этой уязвимости может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и подделке данных.
CVE-2024-23683Artemis Java Test Sandbox версии менее 1.7.6 уязвимы для выхода из песочницы, когда злоумышленник создает специальный подкласс InvocationTargetException. Злоумышленник может злоупотребить этой проблемой для выполнения произвольного кода Java, когда жертва выполняет предположительно находящийся в песочнице код.
CVE-2025-12805Недостаток был обнаружен в Red Hat OpenShift AI (RHOAI) лам-штабекторе. Эта уязвимость обеспечивает несанкционированный доступ к службам Llama Stack, развернутым в других пространствах имен через прямые сетевые запросы, поскольку ни одна сетевая полка не ограничивает доступ к конечным точечным сервису lama-stack. В результате пользователь в одном пространстве имен может получить доступ к экземпляру Llama Stack другого пользователя и потенциально просматривать или манипулировать конфиденциальными данными.
CVE-2024-10220Компонент Kubernetes kubelet позволяет выполнять произвольные команды через специально созданные тома gitRepo. Эта проблема затрагивает kubelet: до 1.28.11, с 1.29.0 по 1.29.6, с 1.30.0 по 1.30.2.
CVE-2023-1305Аутентифицированный злоумышленник может использовать открытый объект "box" для чтения и записи произвольных файлов с диска, при условии, что эти файлы могут быть проанализированы как yaml или JSON. Эта проблема была решена в управляемых и SaaS-развертываниях 1 февраля 2023 г. и в версии 23.2.1 самоуправляемой версии InsightCloudSec.
CVE-2024-35281Уязвимость неправильной изоляции или разделения в FortiClientMac версии 7.4.2 и ниже, версии 7.2.8 и ниже, а также во всех версиях 7.0 и FortiVoiceUCDesktop 3.0 во всех версиях настольного приложения может позволить аутентифицированному злоумышленнику внедрить код через переменные среды Electron. Источники: - [1] https://fortiguard.fortinet.com/psirt/FG-IR-24-025