CWE-665КлассЧерновик
Некорректная инициализация
Программный продукт не инициализирует или некорректно инициализирует ресурс, что может оставить его в непредвиденном состоянии при обращении к нему или использовании.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-20591Неправильная повторная инициализация IOMMU во время события DRTM может позволить сохранить ненадежную конфигурацию платформы, позволяя злоумышленнику читать или изменять память гипервизора, что потенциально приведет к потере конфиденциальности, целостности и доступности.
CVE-2024-39950В продуктах Dahua обнаружена уязвимость. Злоумышленники могут отправлять тщательно разработанные пакеты данных на интерфейс с уязвимостями для инициирования инициализации устройства.
CVE-2023-1719Извлечение глобальных переменных в bitrix/modules/main/tools.php в Bitrix24 22.0.300 позволяет не прошедшим проверку подлинности удаленным злоумышленникам (1) перечислять вложения на сервере и (2) выполнять произвольный код JavaScript в браузере жертвы и, возможно, выполнять произвольный код PHP на сервере, если жертва имеет права администратора, посредством перезаписи неинициализированных переменных.
CVE-2022-46164NodeBB - это программное обеспечение для форумов на основе Node.js с открытым исходным кодом. Из-за простого объекта с прототипом, используемым при обработке сообщений socket.io, специально созданная полезная нагрузка может использоваться для выдачи себя за других пользователей и захвата учетных записей. Эта уязвимость была исправлена в версии 2.6.1. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности выполнить обновление, могут выбрать коммит `48d143921753914da45926cca6370a92ed0c46b8` в своей кодовой базе, чтобы исправить эксплойт.
CVE-2022-37128В D-Link DIR-816 A2_v1.10CNB04.img сеть может быть инициализирована без аутентификации через /goform/wizard_end.
CVE-2022-36061Elrond go — это реализация go для протокола Elrond Network. В версиях до 1.3.35 вызовы только для чтения между контрактами могут генерировать результаты смарт-контрактов. Например, если контракт A вызывает в режиме только для чтения контракт B и вызванная функция внесет изменения в состояние контракта B, состояние будет изменено для контракта B, как если бы вызов был сделан не в режиме только для чтения. Это может привести к некоторым эффектам, не предусмотренным программистами исходных смарт-контрактов. Эта проблема была исправлена в версии 1.3.35. Обходных путей решения проблемы не существует.
CVE-2022-0947Уязвимость в серии беспроводных шлюзов ABB ARG600, которая может позволить злоумышленнику использовать уязвимость, удаленно подключившись к шлюзу последовательного порта и/или преобразователю протокола, в зависимости от конфигурации.
CVE-2021-41264OpenZeppelin Contracts - это библиотека для разработки смарт-контрактов. В затронутых версиях обновляемые контракты, использующие `UUPSUpgradeable`, могут быть уязвимы для атак, затрагивающих неинициализированные контракты реализации. Исправление включено в версию 4.3.2 `@openzeppelin/contracts` и `@openzeppelin/contracts-upgradeable`. Пользователям, которые не могут выполнить обновление, следует инициализировать контракты реализации с помощью `UUPSUpgradeable`, вызвав функцию инициализации (обычно называемую `initialize`). Пример приведен [на форуме](https://forum.openzeppelin.com/t/security-advisory-initialize-uups-implementation-contracts/15301).
CVE-2019-3464Недостаточная очистка переменных окружения, передаваемых rsync, может обойти ограничения, наложенные rssh, ограниченной оболочкой, которая должна ограничивать пользователей только выполнением операций rsync, что приводит к выполнению произвольных команд оболочки.
CVE-2018-11949Неспособность инициализировать дополнительный буфер может привести к доступу вне буфера в функции WLAN в Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile в MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8996AU, QCS605, SD 425, SD 427, SD 430, SD 435, SD 450, SD 625, SD 636, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM630, SDM660, SDX20, SDX24.
CVE-2018-10115Неправильная логика инициализации объектов декодера RAR в 7-Zip 18.03 и более ранних версиях может привести к использованию неинициализированной памяти, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (ошибка сегментации) или выполнить произвольный код через специально созданный RAR-архив.
CVE-2015-8367Функция phase_one_correct в Libraw до версии 0.17.1 позволяет злоумышленникам вызывать ошибки памяти и, возможно, выполнять произвольный код, связанные с инициализацией объекта памяти.
CVE-2008-0062KDC в MIT Kerberos 5 (krb5kdc) не устанавливает глобальную переменную для некоторых типов сообщений krb4, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через специально созданные сообщения, которые вызывают разыменование NULL-указателя или двойное освобождение.
CVE-2024-36455Неправильная проверка ввода позволяет не прошедшему проверку подлинности злоумышленнику добиться удаленного выполнения команд в уязвимой системе PAM, отправив специально созданный HTTP-запрос.
CVE-2024-21807Неправильная инициализация в драйвере режима ядра Linux для некоторых сетевых контроллеров и адаптеров Intel(R) Ethernet до версии 28.3 может позволить аутентифицированному пользователю потенциально повысить привилегии через локальный доступ.