CWE-664 · Некорректное управление ресурсом на протяжении его жизненного цикла

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-664КорневойЧерновик

Абстракция: Корневой

Статус: Черновик

Источник ↗

Некорректное управление ресурсом на протяжении его жизненного цикла

Программный продукт не поддерживает или некорректно поддерживает управление ресурсом на всём протяжении его жизненного цикла: создания, использования и освобождения.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Эксплуатация доверенных идентификаторов

Повторное использование идентификаторов сеансов (перехват сеанса путём воспроизведения)

Фиксация сеанса

Подделка межсайтовых запросов

Фальсификация учётных данных сессии путём подделки

Связанные уязвимости

CVE-2022-27518Неаутентифицированное удаленное выполнение произвольного кода.

CVE-2026-8517Проблема жизненного цикла объекта в WebShare в Google Chrome на Mac до 148.0.7778.168 позволила удаленному злоумышленнику, который убедил пользователя участвовать в определенных жестах пользовательского интерфейса, выполнять произвольный код через созданную HTML-страницу. (Тяжесть безопасности хрома: Критическая)

CVE-2020-3175Уязвимость в системе обработки ресурсов Cisco NX-OS Software для многоуровневых коммутаторов Cisco MDS 9000 Series может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать отказ в обслуживании (DoS) на затронутом устройстве. Эта уязвимость связана с неправильным контролем использования ресурсов. Злоумышленник может воспользоваться этой уязвимостью, отправляя трафик на интерфейс управления (mgmt0) затронутого устройства с очень высокой скоростью. Эксплойт может позволить злоумышленнику вызывать неожиданное поведение, такое как высокая загрузка ЦП, сбои процессов или даже полная перезагрузка системы затронутого устройства.

CVE-2023-44295Dell PowerScale OneFS версий с 8.2.2.x по 9.6.0.x содержит ненадлежащий контроль ресурса в течение всего срока его службы. Злоумышленник с низкими привилегиями может использовать эту уязвимость, что приведет к потере информации и раскрытию информации.

CVE-2016-8763Драйвер TrustZone в телефонах Huawei P9 с версиями программного обеспечения до EVA-AL10C00B352 и P9 Lite с программным обеспечением VNS-L21C185B130 и более ранних версий и P8 Lite с программным обеспечением ALE-L02C636B150 и более ранних версий имеет уязвимость неправильного высвобождения ресурсов, которая позволяет злоумышленникам вызвать перезапуск системы или повышение привилегий.

CVE-2025-12430Выполнение произвольного кода в Google Chrome и Microsoft Edge

CVE-2024-41169Злоумышленник может использовать протокол сервера raft в неаутентифицированном режиме. Злоумышленник может видеть ресурсы сервера, включая директории и файлы [1]. Эта проблема затрагивает Apache Zeppelin: от версии 0.10.1 до 0.12.0. Пользователям рекомендуется обновиться до версии 0.12.0, которая исправляет проблему путем удаления кластерного интерпретатора. Источники: - [1] https://github.com/apache/zeppelin/pull/4841 - [2] https://issues.apache.org/jira/browse/ZEPPELIN-6101 - [3] https://lists.apache.org/thread/moyym04993c8owh4h0qj98r43tbo8qdd

CVE-2023-52387Уязвимость повторного использования ресурсов в модуле GPU. Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность сервиса.

CVE-2023-44288Dell PowerScale OneFS, версии с 8.2.2.x по 9.6.0.x, содержит ненадлежащий контроль ресурса в течение всего срока его службы. Неаутентифицированный сетевой злоумышленник может использовать эту уязвимость, что приведет к отказу в обслуживании.

CVE-2022-32846Логическая проблема была решена путем улучшения управления состоянием. Эта проблема устранена в Apple Music 3.9.10 для Android. Приложение может получить доступ к пользовательским данным, содержащим конфиденциальную информацию.

CVE-2022-20856Уязвимость в обработке сообщений CAPWAP Mobility (Control and Provisioning of Wireless Access Points) в программном обеспечении Cisco IOS XE Wireless Controller для семейства Catalyst 9000 может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать отказ в обслуживании (DoS) на затронутом устройстве. Эта уязвимость связана с логической ошибкой и неправильным управлением ресурсами, связанными с обработкой сообщений CAPWAP Mobility. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные пакеты CAPWAP Mobility на затронутое устройство. Успешная эксплуатация может позволить злоумышленнику исчерпать ресурсы на затронутом устройстве. Это приведет к перезагрузке устройства, что приведет к состоянию DoS.

CVE-2025-21593Уязвимость, связанная с неправильным контролем ресурса на протяжении всего его жизненного цикла, в протоколе маршрутизации (rpd) Juniper Networks Junos OS и Junos OS Evolved позволяет неаутентифицированному сетевому злоумышленнику вызвать отказ в обслуживании (DoS). На устройствах с включенным SRv6 (Segment Routing over IPv6) злоумышленник может отправить неправильно сформированный пакет BGP UPDATE, который приведет к сбою и перезапуску rpd. Продолжающееся получение этих пакетов UPDATE приведет к устойчивому состоянию DoS. Эта проблема затрагивает iBGP и eBGP, а также IPv4 и IPv6. Эта проблема затрагивает Junos OS: * Все версии до 21.2R3-S9, * с 21.4 до 21.4R3-S10, * с 22.2 до 22.2R3-S5, * с 22.3 до 22.3R3-S4, * с 22.4 до 22.4R3-S3, * с 23.2 до 23.2R2-S2, * с 23.4 до 23.4R2; и Junos OS Evolved: * Все версии до 21.2R3-S9-EVO, * с 21.4-EVO до 21.4R3-S10-EVO, * с 22.2-EVO до 22.2R3-S5-EVO, * с 22.3-EVO до 22.3R3-S4-EVO, * с 22.4-EVO до 22.4R3-S3-EVO, * с 23.2-EVO до 23.2R2-S2-EVO, * с 23.4-EVO до 23.4R2-EVO.

CVE-2022-46144В SCALANCE SC622-2C (6GK5622-2GS00-2AC2) (все версии < V2.3), SCALANCE SC622-2C (6GK5622-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE SC626-2C (6GK5626-2GS00-2AC2) (все версии < V2.3), SCALANCE SC626-2C (6GK5626-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE SC632-2C (6GK5632-2GS00-2AC2) (все версии < V2.3), SCALANCE SC632-2C (6GK5632-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE SC636-2C (6GK5636-2GS00-2AC2) (все версии < V2.3), SCALANCE SC636-2C (6GK5636-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE SC642-2C (6GK5642-2GS00-2AC2) (все версии < V2.3), SCALANCE SC642-2C (6GK5642-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE SC646-2C (6GK5646-2GS00-2AC2) (все версии < V2.3), SCALANCE SC646-2C (6GK5646-2GS00-2AC2) (все версии >= V2.3 < V3.0), SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) (все версии < V2.0.0), SCALANCE WAM766-1 (6GK5766-1GE00-7DA0) (все версии < V2.0.0), SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) (все версии < V2.0.0), SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0) (все версии < V2.0.0), SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) (все версии < V2.0.0), SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) (все версии < V2.0.0), SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) (все версии < V2.0.0), SCALANCE WUM766-1 (6GK5766-1GE00-3DA0) (все версии < V2.0.0), SCALANCE WUM766-1 (USA) (6GK5766-1GE00-3DB0) (все версии < V2.0.0) была обнаружена уязвимость. Уязвимые устройства неправильно обрабатывают команды CLI после того, как пользователь принудительно завершил SSH-соединение. Это может позволить аутентифицированному злоумышленнику сделать CLI не отвечающим через SSH или последовательный интерфейс.

CVE-2024-7889Локальное повышение привилегий позволяет пользователю с низкими привилегиями получить привилегии SYSTEM в Citrix Workspace app для Windows.

CVE-2024-37139Dell PowerProtect DD, версии до 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 содержат уязвимость Improper Control of a Resource Through its Lifetime в операции администрирования. Удаленный злоумышленник с низкими привилегиями может использовать эту уязвимость, что приведет к временному ограничению ресурсов системного приложения. Эксплуатация может привести к отказу в обслуживании приложения.