CWE-672 · Операция над ресурсом после истечения срока действия или освобождения

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-672КлассЧерновик

Абстракция: Класс

Статус: Черновик

Источник ↗

Операция над ресурсом после истечения срока действия или освобождения

Программный продукт использует, обращается к нему или иным образом работает с ресурсом после того, как срок действия этого ресурса истёк, он был освобождён или его действие было отозвано.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-47571Операция с ресурсом после истечения срока действия или освобождения в Fortinet FortiManager 6.4.12 до 7.4.0 позволяет злоумышленнику получить неправомерный доступ к FortiGate с помощью действительных учетных данных.

CVE-2020-24030ForLogic Qualiex v1 и v3 имеет слабый срок действия токена. Это позволяет удаленно неаутентифицированно повышать привилегии и получать доступ к конфиденциальным данным посредством повторного использования токена.

CVE-2020-12043Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31 и v22D24) при настройке для беспроводной сети служба FTP, работающая на WBM, остается работоспособной до перезагрузки WBM.

CVE-2019-19725sysstat до версии 12.2.0 имеет двойное освобождение в check_file_actlst в sa_common.c.

CVE-2026-43585OpenClaw до 2026.4.15 захватывает разрешенную конфигурацию на предъявителя-авту при запуске, что позволяет отозванным токенам оставаться в силе после ротации SecretRef. Обработчики Gateway HTTP и WebSocket не могут перерешить аутентификацию по запросу, что позволяет злоумышленникам использовать вращающиеся токены на предъявителя для несанкционированного доступа к шлюзам.

CVE-2013-10075Apache::Сессионные версии до 1.94 для Perl воссоздает удаленные сеансы. Сессия магазины Apache::Сессия::Снаружение::Файл и Apache::Сессия::Стория::DB_Файл создаст сеанс, которого не существует. Это может привести к возобновлению сессий, потенциально с данными, которые должны были быть удалены.

CVE-2022-22755Используя XSL-преобразования, вредоносный веб-сервер мог предоставить пользователю XSL-документ, который продолжал бы выполнять JavaScript (в пределах политики одного источника) даже после закрытия вкладки. Эта уязвимость затрагивает Firefox < 97.

CVE-2021-23995Когда был включен режим адаптивного дизайна, он использовал ссылки на объекты, которые были ранее освобождены. Мы предполагаем, что при достаточных усилиях это можно было использовать для выполнения произвольного кода. Эта уязвимость затрагивает Firefox ESR версий < 78.10, Thunderbird версий < 78.10 и Firefox версий < 88.

CVE-2019-2126В ParseContentEncodingEntry файла mkvparser.cc возможна двойная деаллокация из-за отсутствия сброса освобожденного указателя. Это может привести к удаленному выполнению кода без каких-либо дополнительных прав на выполнение. Для эксплуатации необходимо взаимодействие с пользователем. Продукт: Android. Версии: Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1 Android-9. Android ID: A-127702368.

CVE-2025-55669Когда политика безопасности BIG-IP Advanced WAF и ASM и профиль HTTP/2 на стороне сервера настроены на виртуальном сервере, нераскрытый трафик может привести к прекращению микроядер управления трафиком (TMM). Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.

CVE-2026-31875Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.7 и 8.6.33, когда многофакторная аутентификация (MFA) через TOTP включена для учетной записи пользователя, Parse Server генерирует два одноразовых кода восстановления. Эти коды предназначены в качестве запасного, когда пользователь не может предоставить токен TOTP. Однако коды восстановления не потребляются после использования, что позволяет использовать один и тот же код восстановления неограниченное количество раз. Это разрушает одноразовый дизайн кодов восстановления и ослабляет безопасность защищенных MFA счетов. Злоумышленник, который получает один код восстановления, может неоднократно аутентифицироваться как пострадавший пользователь без признания кода недействительным. Эта уязвимость зафиксирована в пунктах 9.6.0-альфа.7 и 8.6.33.

CVE-2026-2379На затронутых платформах с аппаратной поддержкой IPSec под управлением Arista EOS с определенными включенными функциями IPsec EOS может проявлять неожиданное поведение в конкретных случаях. Физические закрылки интерфейса и некоторые перезапуски агентов могут привести к восстановлению туннеля IPsec с существующими ассоциациями безопасности, что приводит к несоответствию числа последовательностей между конечных точками туннеля, потенциально вызывающими нестабильную связь.

CVE-2020-11027В затронутых версиях WordPress ссылка для сброса пароля, отправленная пользователю по электронной почте, не истекает при изменении пароля пользователя. Для успешного выполнения злоумышленнику потребуется доступ к учетной записи электронной почты пользователя. Эта проблема была исправлена в версии 5.4.1 вместе со всеми предыдущими затронутыми версиями посредством минорного выпуска (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

CVE-2023-34326Рекомендации по инвалидации кэширования из спецификации AMD-Vi (48882—Rev 3.07-PUB—Oct 2022) неверны на некотором оборудовании, поскольку устройства будут неисправны (см. устаревшие DMA-отображения), если некоторые поля DTE обновляются, но IOMMU TLB не сбрасывается. Такие устаревшие DMA-отображения могут указывать на диапазоны памяти, не принадлежащие гостю, тем самым разрешая доступ к непреднамеренным областям памяти.

CVE-2020-27671Проблема обнаружена в Xen до версии 4.14.x, позволяющая пользователям гостевой ОС x86 HVM и PVH вызывать отказ в обслуживании (повреждение данных), утечку данных или, возможно, получать привилегии, поскольку объединение сбросов TLB IOMMU для каждой страницы обрабатывается неправильно.