CWE-691 · Недостаточное управление потоком управления

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-691КорневойЧерновик

Абстракция: Корневой

Статус: Черновик

Источник ↗

Недостаточное управление потоком управления

Код не обеспечивает достаточного контроля над потоком управления во время выполнения, создавая условия для его непредвиденного изменения.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Эксплуатация состояний гонки TOCTOU (время проверки — время использования)

Связанные уязвимости

CVE-2025-25273Недостаточное управление потоком управления в драйвере режима ядра Linux для некоторых Intel(R) 700 Series Ethernet до версии 2.28.5 может позволить аутентифицированному пользователю потенциально повысить уровень привилегий посредством локального доступа [1]. Источники: - [1] https://intel.com/content/www/us/en/security-center/advisory/intel-sa-01335.html

CVE-2025-22893Недостаточное управление потоком управления в драйвере режима ядра Linux для некоторых Intel(R) 800 Series Ethernet версии до 1.17.2 может позволить аутентифицированному пользователю потенциально повысить привилегии посредством локального доступа [1]. Источники: - [1] https://intel.com/content/www/us/en/security-center/advisory/intel-sa-01296.html

CVE-2023-20559Недостаточное управление потоком управления в AmdCpmGpioInitSmm может позволить привилегированному злоумышленнику подделать обработчик SMM, что потенциально приведет к повышению привилегий.

CVE-2022-20697Уязвимость в интерфейсе веб-служб Cisco IOS Software и Cisco IOS XE Software может позволить прошедшему проверку подлинности удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS). Эта уязвимость связана с неправильным управлением ресурсами в коде HTTP-сервера. Злоумышленник может воспользоваться этой уязвимостью, отправив большое количество HTTP-запросов на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать перезагрузку устройства, что приведет к состоянию DoS.

CVE-2025-20004В playeduxyz PlayEdu 开源培训系统 до 1.8 обнаружена уязвимость, классифицированная как проблематичная. Эта уязвимость затрагивает неизвестную часть файла /api/backend/v1/user/create компонента User Avatar Handler. Манипуляция аргументом Avatar приводит к подделке серверных запросов. Атака может быть инициирована удаленно. Эксплойт был раскрыт общественности и может быть использован [1]. Источники: - [1] https://vuldb.com/?id.306365 - [2] https://vuldb.com/?ctiid.306365 - [3] https://vuldb.com/?submit.558283 - [4] https://github.com/Bae-ke/cve/issues/3

CVE-2025-35963Недостаточно управления расходом управления для некоторых программ Intel (R) PROSet/Wireless WiFi для Windows до версии 23.160 в Ring 2: драйверы устройств могут разрешить отказ в обслуживании. Непривилегированный программный противник с неаутентифицированным пользователем в сочетании с атакой низкой сложности может позволить отказ в обслуживании. Этот результат может потенциально происходить через соседний доступ, когда требования к атаке не присутствуют без специальных внутренних знаний и не требуют взаимодействия с пользователем. Потенциальная уязвимость может повлиять на конфиденциальность (нет), целостность (ни одного) и доступность (высокая) уязвимой системы, что приведет к последующей конфиденциальности системы (нет), целостности (нет) и доступности (высокий) воздействия.

CVE-2024-21801Недостаточное управление потоком управления в некоторых версиях ПО Intel(R) TDX module до версии 1.5.05.46.698 может позволить привилегированному пользователю потенциально вызвать отказ в обслуживании через локальный доступ.

CVE-2024-33617Недостаточное управление потоком управления в некоторых версиях Intel(R) QAT Engine для OpenSSL до версии v1.6.1 может привести к раскрытию информации через сетевой доступ.

CVE-2024-37158Evmos - это хаб виртуальной машины Ethereum (EVM) в сети Cosmos. Предварительные проверки действий, вычисляемых учетными записями с возвратом средств, выполняются в ante handler. Evmos core реализует два разных ante handler: один для транзакций Cosmos и один для транзакций Ethereum. Проверки, выполняемые в двух реализациях, различны. Обнаруженная уязвимость позволяла учетной записи с возвратом средств обходить проверки Cosmos ante handler, отправляя транзакцию Ethereum, нацеленную на precompile, используемый для взаимодействия с модулем Cosmos SDK. Эта уязвимость исправлена в версии 18.0.0.

CVE-2022-48481В JetBrains Toolbox App до версии 1.28 была возможна инъекция DYLIB в macOS.

CVE-2022-46828В JetBrains IntelliJ IDEA до 2022.3 была возможна инъекция DYLIB в macOS.

CVE-2021-4106Уязвимость в Snow Inventory Java Scanner позволяет злоумышленнику запускать вредоносный код с более высоким уровнем привилегий. Эта проблема затрагивает: SNOW Snow Inventory Java Scanner 1.0.

CVE-2021-33157Недостаточное управление потоком управления в некоторых Ethernet-адаптерах Intel(R) и встроенном ПО управления Ethernet-контроллера Intel(R) I225 может позволить привилегированному пользователю потенциально повысить свои привилегии через локальный доступ.

CVE-2025-24305Недостаточное управление потоком управления в прошивке ACTM (Alias Checking Trusted Module) для некоторых процессоров Intel(R) Xeon(R) может позволить пользователю с повышенными привилегиями потенциально повысить привилегии посредством локального доступа [1]. Источники: - [1] https://intel.com/content/www/us/en/security-center/advisory/intel-sa-01313.html

CVE-2024-29079Недостаточное управление потоком управления в некотором программном обеспечении Intel(R) VROC до версии 8.6.0.3001 может позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.