CWE-667 · Некорректная блокировка

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-667КлассЧерновик

Абстракция: Класс

Статус: Черновик

Источник ↗

Некорректная блокировка

Программный продукт не обеспечивает надлежащего захвата или освобождения блокировки ресурса, что приводит к непредвиденным изменениям состояния ресурса и нештатному поведению.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Принудительная взаимоблокировка

Эксплуатация состояний гонки

Эксплуатация состояний гонки через символические ссылки

Связанные уязвимости

CVE-2021-22530Обнаружена уязвимость в NetIQ Advance Authentication, из-за которой не применяется блокировка учетной записи при атаке методом перебора на API-интерфейс входа в систему. Эта проблема может привести к компрометации учетной записи пользователя в случае успеха или повлиять на производительность сервера. Эта проблема затрагивает все версии NetIQ Advance Authentication до 6.3.5.1.

CVE-2020-12658gssproxy (также известный как gss-proxy) до версии 0.8.3 не разблокирует cond_mutex перед выходом pthread в gp_worker_main() в gp_workers.c. ПРИМЕЧАНИЕ: В комментарии вышестоящего разработчика говорится: "Мы уже находимся на пути завершения работы при запуске кода, о котором идет речь, поэтому DoS там не имеет никакого смысла, и нам (как вышестоящему разработчику) не было предоставлено никакой дополнительной информации, указывающей, почему это может быть проблемой."

CVE-2019-5886Проблема была обнаружена в ShopXO 1.2.0. В файле application\install\controller\Index.php отсутствует файл блокировки проверки в методе Add, что позволяет злоумышленнику переустановить базу данных. Злоумышленник может записать произвольный код в database.php во время переустановки системы.

CVE-2023-32250Ошибка была найдена в ksmbd ядра Linux, высокопроизводительном SMB-сервере в ядре. Конкретная ошибка существует в обработке команд SMB2_SESSION_SETUP. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может воспользоваться этой уязвимостью для выполнения кода в контексте ядра.

CVE-2026-43215В ядре Linux устранена следующая уязвимость: cifs: Исправить использование блокировки для полей tcon Мы использовали cifs_tcp_ses_lock для защиты многих объектов Это не только сервер, списки или списки tcon. Позже мы представили srv_lock, ses_lock и tc_lock для защиты полей в пределах Соответствующие постановки. Это было сделано, чтобы обеспечить более детальный защита и избегание ненужной сериализации. Было еще несколько применений cifs_tcp_ses_lock для предоставления Текон поля. В этом патче я заменил их на tc_lock.

CVE-2026-31629В ядре Linux устранена следующая уязвимость: nfc: llcp: добавить недостающее возвращение после проверок LLCP_CLOSED В nfc_llcp_recv_hdlc() и nfc_llcp_recv_disc(), когда розетка состояние - LLCP_CLOSED, код правильно называет релиз_sock() и nfc_llcp_sock_put(), но не возвращается. Исполнение падает до остальной части функции, которая называет выпуск_sock() и nfc_llcp_sock_put() снова. Это приводит к двойному выпуску_sock() и недоучет через двойной nfc_llcp_sock_put(), ведущий к Использование-после-бесплатно. Добавить недостающие возвратные заявления после филиалов LLCP_CLOSED в обеих функциях, чтобы предотвратить сквозное сквозное.

CVE-2025-2817Механизм обновления Thunderbird позволял процессу с уровнем целостности medium вмешиваться в работу системного обновления SYSTEM путем манипуляций с поведением блокировки файлов. Внедряя код в процесс с пользовательскими привилегиями, злоумышленник мог обойти предусмотренные механизмы контроля доступа, позволяя выполнять операции с файлами уровня SYSTEM на путях, контролируемых непривилегированным пользователем, и повышать привилегии. Эта уязвимость затрагивает Firefox < 138, Firefox ESR < 128.10, Firefox ESR < 115.23, Thunderbird < 138 и Thunderbird < 128.10. Как указано в источнике [1], проблема была устранена в обновлении Firefox ESR 128.10. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1917536 - [2] https://www.mozilla.org/security/advisories/mfsa2025-28/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-29/ - [4] https://www.mozilla.org/security/advisories/mfsa2025-30/ - [5] https://www.mozilla.org/security/advisories/mfsa2025-31/

CVE-2020-15674Разработчики Mozilla сообщили об ошибках безопасности памяти, присутствующих в Firefox 80. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточных усилиях некоторые из них можно было использовать для выполнения произвольного кода. Эта уязвимость затрагивает Firefox < 81.

CVE-2026-21914Уязвимость неправильной блокировки в плагине GTP Juniper Networks Junos OS на серии SRX позволяет неавторизованному сетевому злоумышленнику вызвать отказ в обслуживании (Dos). Если устройство серии SRX получает специально неправильно сформированное сообщение GPRS Tunnelling Protocol (GTP) Modify Bearer Request, блокировка приобретается и никогда не выпускается. Это приводит к тому, что другие потоки не могут сами приобрести блокировку, что приводит к сбою FPC и перезапуску. Эта проблема приводит к полному отключению трафика до тех пор, пока устройство автоматически не восстановится. Эта проблема затрагивает Junos OS в серии SRX: * все версии перед 22.4R3-S8, * 23.2 версии до 23.2R2-S5, * 23.4 версии до 23.4R2-S6, * 24.2 версии до 24.2R2-S3, * 24.4 версии до 24.4R2-S2, * 25.2 версии до 25.2R1-S1, 25.2R2.

CVE-2016-3841Стек IPv6 в ядре Linux до 4.3.3 неправильно обрабатывает данные параметров, что позволяет локальным пользователям получить привилегии или вызвать отказ в обслуживании (use-after-free и сбой системы) через специально созданный системный вызов sendmsg.

CVE-2025-58153В нераскрытых условиях движения наряду с условиями, не зависящими от злоумышленника, аппаратные системы с высокоскоростным мостом (HSB) могут испытывать блокировку HSB. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.

CVE-2024-58087В ядре Linux была исправлена следующая уязвимость: ksmbd: исправление гонки при поиске и истечении сеанса Увеличьте количество ссылок на сеанс в пределах блокировки для поиска, чтобы избежать гонки при истечении сеанса.

CVE-2023-32258Обнаружена уязвимость в ksmbd ядра Linux, высокопроизводительном внутриядерном SMB-сервере. Конкретная уязвимость существует в обработке команд SMB2_LOGOFF и SMB2_CLOSE. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.

CVE-2023-32257Обнаружена уязвимость в ksmbd ядра Linux, высокопроизводительном внутриядерном SMB-сервере. Конкретная уязвимость существует в обработке команд SMB2_SESSION_SETUP и SMB2_LOGOFF. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.

CVE-2023-32254Ошибка была найдена в ksmbd ядра Linux, высокопроизводительном SMB-сервере в ядре. Конкретная ошибка существует в обработке команд SMB2_TREE_DISCONNECT. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может воспользоваться этой уязвимостью для выполнения кода в контексте ядра.