V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-684КлассЧерновик
Абстракция: Класс
Статус: Черновик
Источник ↗

Некорректное предоставление заявленной функциональности

Код не функционирует в соответствии с опубликованными спецификациями, что потенциально ведёт к некорректному использованию.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2026-40685В Exim до 4.99.2, когда поиск JSON включен, запредельная куча записи может произойти, когда оператор JSON сталкивается с деформированным JSON в ненадежном заголовке из-за неправильного выполнения пропуска.
CVE-2024-50357Маршрутизаторы серии FutureNet NXR, предоставляемые Century Systems Co., Ltd., имеют REST-API, которые настроены как отключенные в начальной (заводской) конфигурации по умолчанию. Но REST-API неожиданно включаются, когда затронутый продукт включается, при условии, что включен либо http-сервер (GUI), либо веб-аутентификация. В заводской конфигурации по умолчанию http-сервер (GUI) включен, что означает, что REST-API также включены. Имя пользователя и пароль для REST-API настроены в заводской конфигурации по умолчанию. В результате злоумышленник может получить и/или изменить настройки затронутого продукта через REST-API.
CVE-2023-24845Выявлена уязвимость в продуктах RUGGEDCOM. Затронутые продукты недостаточно блокируют данные, пересылаемые через зеркальный порт в зеркальную сеть. Злоумышленник может использовать это поведение для передачи вредоносных пакетов в зеркальную сеть, что может повлиять на их конфигурацию и поведение во время выполнения [1]. Источники: - [1] https://cert-portal.siemens.com/productcert/pdf/ssa-908185.pdf - [2] https://cert-portal.siemens.com/productcert/html/ssa-908185.html
CVE-2026-44597Тор до 0.4.9.7 имеет внеграничное чтение, когда КОНЕЦ, УТЕЧКА или УСЕЧЕННЫЙ ячейка не имеют причины в своей полезной нагрузке, он же TROVE-2026-011.
CVE-2024-6425Некорректное предоставление указанной функциональности в MESbook версии 20221021.03. Удаленный злоумышленник, не прошедший проверку подлинности, может регистрировать учетные записи пользователей без аутентификации из маршрута "/account/Register/" и в параметрах "UserName=<RANDOMUSER>&Password=<PASSWORD>&ConfirmPassword=<PASSWORD-REPEAT>".
CVE-2025-66384app/Controller/EventsController.php в MISP до 2.5.24 имеет недействительную логику проверки на достоверность загруженного файла, связанного с tmp_name.
CVE-2026-40684В Exim до 4.99.2, на системах, использующих musl libc (не глибк), злоумышленник может сбить случай подключения, когда деформированные данные DNS присутствуют в записях PTR. Это вызвано dn_expand странностью в окталь.
CVE-2025-47227В расширении Production Environment в Netmake ScriptCase до версии 9.12.006 (23) механизм сброса пароля администратора не обрабатывается должным образом. Достаточно выполнить GET- и POST-запрос к login.php. Неаутентифицированный злоумышленник может обойти аутентификацию, захватив учетную запись администратора. Для сброса пароля требуется решение CAPTCHA, которое можно автоматизировать с помощью распознавания текста (OCR), поскольку изображения CAPTCHA легко поддаются анализу. Механизм сброса пароля должен быть доступен только аутентифицированным пользователям, а сброс должен основываться на cookie сессии. В качестве временной меры рекомендуется полностью ограничить доступ к расширению Production Environment. Источники: - [1] https://www.scriptcase.net/changelog/ - [2] https://www.synacktiv.com/advisories/scriptcase-pre-authenticated-remote-command-execution - [3] https://github.com/synacktiv/CVE-2025-47227_CVE-2025-47228
CVE-2023-5363Краткое описание проблемы: В обработке длин ключей и векторов инициализации (IV) была обнаружена ошибка. Это может привести к потенциальному усечению или переполнению во время инициализации некоторых симметричных шифров. Краткое описание последствий: Усечение IV может привести к неуникальности, что может привести к потере конфиденциальности для некоторых режимов шифрования. При вызове EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2() или EVP_CipherInit_ex2() предоставленный массив OSSL_PARAM обрабатывается после установки ключа и IV. Любые изменения длины ключа через параметр "keylen" или длины IV через параметр "ivlen" внутри массива OSSL_PARAM не вступят в силу должным образом, что потенциально может привести к усечению или перечитыванию этих значений. Это затрагивает следующие шифры и режимы шифрования: RC2, RC4, RC5, CCM, GCM и OCB. Для режимов шифрования CCM, GCM и OCB усечение IV может привести к потере конфиденциальности. Например, при соблюдении рекомендаций NIST SP 800-38D раздел 8.2.1 по построению детерминированного IV для AES в режиме GCM усечение части счетчика может привести к повторному использованию IV. Как усечения, так и переполнения ключа и переполнения IV приведут к неверным результатам и в некоторых случаях могут вызвать исключение памяти. Однако в настоящее время эти проблемы не оцениваются как критически важные для безопасности. Изменение длин ключа и/или IV не считается распространенной операцией, и уязвимый API был представлен недавно. Кроме того, вероятно, что разработчики приложений заметили эту проблему во время тестирования, поскольку расшифровка не удастся, если только обе стороны в коммуникации не были в равной степени уязвимы. По этим причинам мы ожидаем, что вероятность уязвимости приложения к этому будет довольно низкой. Однако, если приложение уязвимо, то эта проблема считается очень серьезной. По этим причинам мы оценили эту проблему как умеренную в целом. Реализация OpenSSL SSL/TLS не затрагивается этой проблемой. Поставщики OpenSSL 3.0 и 3.1 FIPS не затрагиваются этой проблемой, поскольку проблема находится за пределами границы поставщика FIPS. OpenSSL 3.1 и 3.0 уязвимы для этой проблемы.
CVE-2024-20317Уязвимость в обработке определенных Ethernet-кадров программным обеспечением Cisco IOS XR для различных платформ Cisco Network Convergence System (NCS) может позволить не прошедшему проверку подлинности злоумышленнику, находящемуся по соседству, вызвать отбрасывание пакетов с критическим приоритетом, что приведет к отказу в обслуживании (DoS). Эта уязвимость связана с некорректной классификацией определенных типов Ethernet-кадров, получаемых на интерфейсе. Злоумышленник может воспользоваться этой уязвимостью, отправив определенные типы Ethernet-кадров на затронутое устройство или через него. Успешная эксплуатация может позволить злоумышленнику вызвать сбой протокольных отношений плоскости управления, что приведет к DoS. Дополнительную информацию см. в разделе данного бюллетеня. Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных путей решения этой уязвимости не существует.
CVE-2025-58325Выполнение произвольного кода в FortiOS
CVE-2026-42255Техниумный DNS Server до 15.0 позволяет усилить трафик DNS через делегирование сервера циклического имени.
CVE-2024-6502Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 8.2 до 17.1.6, начиная с 17.2 до 17.2.4 и начиная с 17.3 до 17.3.1, которая позволяет злоумышленнику создать ветку с тем же именем, что и удаленный тег.
CVE-2023-5158Обнаружена уязвимость в vringh_kiov_advance в drivers/vhost/vringh.c в хост-части virtio ring в ядре Linux. Эта проблема может привести к отказу в обслуживании от гостя к хосту через дескриптор нулевой длины.
CVE-2023-4258В реализации Bluetooth mesh, если provisionee имеет открытый ключ, отправленный OOB, то во время подготовки он может быть отправлен обратно и принят provisionee.