CWE-657 · Нарушение принципов безопасного проектирования

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-657КлассЧерновик

Абстракция: Класс

Статус: Черновик

Источник ↗

Нарушение принципов безопасного проектирования

Программный продукт нарушает общепринятые принципы безопасного проектирования.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2026-39888PraisonAI - это система мультиагентных команд. До 1.5.115 выполнить_code() в praisonaiagents.tools.python_tools по умолчанию по умолчанию sandbox_mode="sandbox", который запускает пользовательский код в рамках субпроцесса, обернутого ограниченным __builtins__ dict и блок-листом на основе AST. Блоклист AST, встроенный в обертку подпроцесса (blocked_atts of python_tools.py), содержит только 11 названий атрибутов — строгое подмножество 30+ имен, заблокированных на пути прямого исполнения. Четыре атрибута, которые образуют цепочку кадра-траверса из песочницы, отсутствуют в списке субпроцесса (__traceback__, tb_frame, f_back и f_builtins). Привязка этих атрибутов через пойманное исключение обнажает настоящий Python встроенный диктат кадра обертки для подпроцесса, из которого exec может быть извлечен и назван под неблокированным именем переменной, минуя каждый оставшийся уровень безопасности. Эта уязвимость зафиксирована в 1.5.115.

CVE-2026-30792Уязвимость в Rustdesk-клиенте Rustdesk Client rustdesk-клиенте на Windows, MacOS, Linux, iOS, Android, WebClient (стратегическая синхронизация, клиент HTTP API, модули монтирования опций) позволяет манипулировать сообщениями Application API через Man-in-the-Middle. Эта уязвимость связана с программными файлами src/hbbs_http/sync.Rs, hbb_common/src/config.Rs и программными процедурами Слияние в sync.Rs, Config::set_options(). Эта проблема затрагивает клиента RustDesk: через 1.4.5.

CVE-2025-24418Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости Неправильной авторизации, которая может привести к эскалации привилегий. Злоумышленник с низкими привилегиями может использовать эту уязвимость, чтобы обойти меры безопасности и получить несанкционированный доступ. Для эксплуатации этой проблемы не требуется взаимодействие с пользователем.

CVE-2023-29320Версии Adobe Acrobat Reader 23.003.20244 (и более ранние) и 20.005.30467 (и более ранние) подвержены уязвимости нарушения принципов безопасного проектирования, которая может привести к произвольному выполнению кода в контексте текущего пользователя путем обхода функции добавления API в черный список. Эксплуатация этой проблемы требует взаимодействия с пользователем, при котором жертва должна открыть вредоносный файл.

CVE-2019-0061Демон управления (MGD) отвечает за все операции конфигурации и управления в Junos OS. Junos CLI взаимодействует с MGD через внутренний сокет домена unix, и ему предоставляется специальное разрешение на открытие этого сокета защищенного режима. Из-за неправильной конфигурации внутреннего сокета локальный аутентифицированный пользователь может воспользоваться этой уязвимостью для получения прав администратора. Эта проблема затрагивает только платформы на базе Linux. Платформы на базе FreeBSD не подвержены этой уязвимости. Эксплуатация этой уязвимости требует доступа к оболочке Junos. Эту проблему нельзя использовать из Junos CLI. Эта проблема затрагивает Juniper Networks Junos OS: версии 15.1X49 до 15.1X49-D171, 15.1X49-D180; версии 15.1X53 до 15.1X53-D496, 15.1X53-D69; версии 16.1 до 16.1R7-S4; версии 16.2 до 16.2R2-S9; версии 17.1 до 17.1R3; версии 17.2 до 17.2R1-S8, 17.2R2-S7, 17.2R3-S1; версии 17.3 до 17.3R3-S4; версии 17.4 до 17.4R1-S6, 17.4R1-S7, 17.4R2-S3, 17.4R3; версии 18.1 до 18.1R2-S4, 18.1R3-S4; версии 18.2 до 18.2R1-S5, 18.2R2-S2, 18.2R3; версии 18.3 до 18.3R1-S3, 18.3R2; версии 18.4 до 18.4R1-S2, 18.4R2.

CVE-2024-57957Уязвимость неправильного контроля информации в журналах в модуле пользовательского интерфейса. Влияние: Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность сервисов.

CVE-2023-52714Уязвимость дефектов, внесенных в процесс проектирования в модуле hwnff. Воздействие: Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность сервиса.

CVE-2022-28244Acrobat Reader DC версий 22.001.20085 (и более ранних), 20.005.3031x (и более ранних) и 17.012.30205 (и более ранних) подвержены нарушению принципов безопасного проектирования путем обхода политики безопасности контента, что может привести к тому, что злоумышленник будет отправлять произвольно настроенные запросы в целевой домен межсайтовой атаки. Эксплуатация требует взаимодействия с пользователем, при котором жертве необходимо получить доступ к специально созданному PDF-файлу на сервере злоумышленника.

CVE-2019-5478Слабость была обнаружена в режиме загрузки Encrypt Only в устройствах Zynq UltraScale+. Это может привести к тому, что злоумышленник сможет изменить поля управления загрузочного образа, что приведет к неправильному поведению безопасной загрузки.

CVE-2021-36061Adobe Connect версии 11.2.2 (и более ранние) подвержен уязвимости нарушения принципов безопасного проектирования через параметр 'pbMode'. Не прошедший проверку подлинности злоумышленник может воспользоваться этой уязвимостью для редактирования или удаления записей в среде Connect. Для эксплуатации этой проблемы требуется взаимодействие с пользователем, то есть жертва должна опубликовать ссылку на запись Connect.

CVE-2022-30683Версии Adobe Experience Manager 6.5.13.0 (и более ранние) подвержены уязвимости нарушения принципов безопасного проектирования, которая может привести к обходу функции безопасности механизма шифрования в серверной части. Злоумышленник может использовать эту уязвимость для расшифровки секретов, однако это атака высокой сложности, поскольку злоумышленнику необходимо уже обладать этими секретами. Для эксплуатации этой уязвимости требуется доступ к AEM с низкими привилегиями.

CVE-2020-8133Неправильная генерация парольной фразы для зашифрованного блока в Nextcloud Server 19.0.1 позволяла злоумышленнику перезаписывать блоки в файле.

CVE-2017-6032Обнаружена проблема нарушения принципов безопасного проектирования в Schneider Electric Modicon Modbus Protocol. Протокол Modicon Modbus имеет слабость, связанную с сеансом, что делает его уязвимым для атак методом перебора.

CVE-2019-15611Нарушение принципов безопасного проектирования в iOS App 2.23.0 приводит к утечке приложением своего логина и токена в другие службы Nextcloud при поиске, например, федеративных пользователей или регистрации для push-уведомлений.

CVE-2021-28583Версии Magento 2.4.2 (и более ранние), 2.4.1-p1 (и более ранние) и 2.3.6-p1 (и более ранние) подвержены уязвимости нарушения принципов безопасного проектирования в форматах имен файлов RMA PDF. Успешная эксплуатация может позволить злоумышленнику получить несанкционированный доступ к ограниченным ресурсам.