CWE-708 · Некорректное присвоение владельца

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-708БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Некорректное присвоение владельца

Программный продукт назначает владельца ресурса, однако этот владелец находится за пределами предполагаемой сферы управления.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-4008Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 15.9 до 16.0.8, все версии, начиная с 16.1 до 16.1.3, все версии, начиная с 16.2 до 16.2.2. Было возможно захватить GitLab Pages с уникальными URL-адресами доменов, если известна добавленная случайная строка.

CVE-2021-32726Nextcloud Server — это пакет Nextcloud, который обрабатывает хранение данных. В версиях до 19.0.13, 20.011 и 21.0.3 токены webauthn не удалялись после удаления пользователя. Если жертва повторно использовала ранее использованное имя пользователя, предыдущий пользователь мог получить доступ к ее учетной записи. Проблема была исправлена в версиях 19.0.13, 20.0.11 и 21.0.3. Известных обходных путей нет.

CVE-2026-40196HomeBox - это домашняя система инвентаризации и организации. Версии до 0.25.0 содержат уязвимость, при которой идентификатор группы по умолчанию оставался постоянно присваиваемым пользователю после приглашения в группу, даже после того, как их доступ к этой группе был отозван. Хотя веб-интерфейс правильно применял отзыв доступа и препятствовал просмотру или изменению содержимого группы, API этого не делал. Поскольку исходный идентификатор группы сохранялся как группа по умолчанию пользователя, и это значение не было должным образом подтверждено, когда заголовок X-Tenant был опущен, пользователь все еще мог выполнять полные операции CRUD в коллекциях группы через API, минуя предполагаемые элементы управления доступом. Эта проблема исправлена в версии 0.25.0.

CVE-2024-52561В функции Snapshot продукта Parallels Desktop for Mac версии 20.1.1 (build 55740) существует уязвимость повышения привилегий. При удалении снимка виртуальной машины служба root проверяет и изменяет права собственности на файлы снимка. Злоумышленник может использовать символическую ссылку для изменения прав собственности на файлы, принадлежащие root, на пользователя с более низкими привилегиями, что потенциально может привести к повышению привилегий [1]. Источники: - [1] https://talosintelligence.com/vulnerability_reports/TALOS-2024-2123

CVE-2024-9633Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 16.3 до 17.4.2, все версии, начиная с 17.5 до 17.5.4, все версии, начиная с 17.6 до 17.6.2. Эта проблема позволяет злоумышленнику создать группу с именем, совпадающим с существующим уникальным доменом Pages, что может привести к атакам, связанным с путаницей доменов.

CVE-2022-33737Установщик OpenVPN Access Server создает файл журнала, доступный для чтения всем, который, начиная с версии 2.10.0 и до 2.11.0, может содержать случайно сгенерированный пароль администратора.

CVE-2023-20044Уязвимость в Cisco CX Cloud Agent может позволить прошедшему проверку подлинности локальному злоумышленнику повысить свои привилегии. Эта уязвимость связана с небезопасными разрешениями на файлы. Злоумышленник может воспользоваться этой уязвимостью, убедив службу поддержки обновить настройки, которые вызывают небезопасный сценарий. Успешная эксплуатация может позволить злоумышленнику получить полный контроль над затронутым устройством.

CVE-2023-29122При определенных условиях доступ к библиотекам служб предоставляется учетной записи, к которой у них не должно быть доступа.

CVE-2023-20043Уязвимость в Cisco CX Cloud Agent может позволить прошедшему проверку подлинности локальному злоумышленнику повысить свои привилегии. Эта уязвимость связана с небезопасными разрешениями на файлы. Злоумышленник может воспользоваться этой уязвимостью, вызвав сценарий с помощью sudo. Успешная эксплуатация может позволить злоумышленнику получить полный контроль над затронутым устройством.

CVE-2025-5069В GitLab CE/EE обнаружена уязвимость, затрагивающая все версии с 17.10 до 18.2.7, 18.3 до 18.3.3 и 18.4 до 18.4.1, которая могла позволить аутентифицированному пользователю получить несанкционированный доступ к конфиденциальным задачам, создав проект с идентичным именем проекта жертвы [1]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/544926 - [2] https://hackerone.com/reports/3019236

CVE-2024-45426Некорректное назначение прав собственности в некоторых приложениях Zoom Workplace может позволить привилегированному пользователю осуществить раскрытие информации через сетевой доступ.

CVE-2024-41773IBM Global Configuration Management 7.0.2 и 7.0.3 может позволить аутентифицированному пользователю архивировать глобальную базовую линию из-за неправильных средств контроля доступа.

CVE-2021-26248Philips MRI 1.5T и MRI 3T версии 5.x.x назначают владельца ресурсу, который находится вне предполагаемой сферы контроля.

CVE-2024-45417Неконтролируемое потребление ресурсов в установщике некоторых приложений Zoom для macOS до версии 6.1.5 может позволить привилегированному пользователю провести раскрытие информации через локальный доступ.

CVE-2026-32691Расовое условие в подсистеме управления секретами Juju версий 3.0.0 до 3.6.18 позволяет аутентифицированному агенту претендовать на право собственности на недавно инициализированную тайну. Между генерацией секретного идентификатора Juju и созданием первой ревизии секрета злоумышленник, аутентифицированный как другой агент подразделения, может претендовать на владение известной тайной. Это приводит к тому, что атакующее подразделение может читать содержание первоначальной секретной ревизии.