CWE-708БазаНеполный
Некорректное присвоение владельца
Программный продукт назначает владельца ресурса, однако этот владелец находится за пределами предполагаемой сферы управления.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2023-4008Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 15.9 до 16.0.8, все версии, начиная с 16.1 до 16.1.3, все версии, начиная с 16.2 до 16.2.2. Было возможно захватить GitLab Pages с уникальными URL-адресами доменов, если известна добавленная случайная строка.
CVE-2021-32726Nextcloud Server — это пакет Nextcloud, который обрабатывает хранение данных. В версиях до 19.0.13, 20.011 и 21.0.3 токены webauthn не удалялись после удаления пользователя. Если жертва повторно использовала ранее использованное имя пользователя, предыдущий пользователь мог получить доступ к ее учетной записи. Проблема была исправлена в версиях 19.0.13, 20.0.11 и 21.0.3. Известных обходных путей нет.
CVE-2024-52561В функции Snapshot продукта Parallels Desktop for Mac версии 20.1.1 (build 55740) существует уязвимость повышения привилегий. При удалении снимка виртуальной машины служба root проверяет и изменяет права собственности на файлы снимка. Злоумышленник может использовать символическую ссылку для изменения прав собственности на файлы, принадлежащие root, на пользователя с более низкими привилегиями, что потенциально может привести к повышению привилегий [1].
Источники:
- [1] https://talosintelligence.com/vulnerability_reports/TALOS-2024-2123
CVE-2024-9633Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 16.3 до 17.4.2, все версии, начиная с 17.5 до 17.5.4, все версии, начиная с 17.6 до 17.6.2. Эта проблема позволяет злоумышленнику создать группу с именем, совпадающим с существующим уникальным доменом Pages, что может привести к атакам, связанным с путаницей доменов.
CVE-2022-33737Установщик OpenVPN Access Server создает файл журнала, доступный для чтения всем, который, начиная с версии 2.10.0 и до 2.11.0, может содержать случайно сгенерированный пароль администратора.
CVE-2023-20044Уязвимость в Cisco CX Cloud Agent может позволить прошедшему проверку подлинности локальному злоумышленнику повысить свои привилегии.
Эта уязвимость связана с небезопасными разрешениями на файлы. Злоумышленник может воспользоваться этой уязвимостью, убедив службу поддержки обновить настройки, которые вызывают небезопасный сценарий. Успешная эксплуатация может позволить злоумышленнику получить полный контроль над затронутым устройством.
CVE-2023-29122При определенных условиях доступ к библиотекам служб предоставляется учетной записи, к которой у них не должно быть доступа.
CVE-2023-20043Уязвимость в Cisco CX Cloud Agent может позволить прошедшему проверку подлинности локальному злоумышленнику повысить свои привилегии.
Эта уязвимость связана с небезопасными разрешениями на файлы. Злоумышленник может воспользоваться этой уязвимостью, вызвав сценарий с помощью sudo. Успешная эксплуатация может позволить злоумышленнику получить полный контроль над затронутым устройством.
CVE-2025-5069В GitLab CE/EE обнаружена уязвимость, затрагивающая все версии с 17.10 до 18.2.7, 18.3 до 18.3.3 и 18.4 до 18.4.1, которая могла позволить аутентифицированному пользователю получить несанкционированный доступ к конфиденциальным задачам, создав проект с идентичным именем проекта жертвы [1].
Источники:
- [1] https://gitlab.com/gitlab-org/gitlab/-/issues/544926
- [2] https://hackerone.com/reports/3019236
CVE-2024-45426Некорректное назначение прав собственности в некоторых приложениях Zoom Workplace может позволить привилегированному пользователю осуществить раскрытие информации через сетевой доступ.
CVE-2024-41773IBM Global Configuration Management 7.0.2 и 7.0.3 может позволить аутентифицированному пользователю архивировать глобальную базовую линию из-за неправильных средств контроля доступа.
CVE-2024-45417Неконтролируемое потребление ресурсов в установщике некоторых приложений Zoom для macOS до версии 6.1.5 может позволить привилегированному пользователю провести раскрытие информации через локальный доступ.
CVE-2021-26248Philips MRI 1.5T и MRI 3T версии 5.x.x назначают владельца ресурсу, который находится вне предполагаемой сферы контроля.
CVE-2026-32691A race condition in the secrets management subsystem of Juju versions 3.0.0 through 3.6.18 allows an authenticated unit agent to claim ownership of a newly initialized secret. Between generating a Juju Secret ID and creating the secret's first revision, an attacker authenticated as another unit agent can claim ownership of a known secret. This leads to the attacking unit being able to read the content of the initial secret revision.
CVE-2025-14262A wrong permission check in KNIME Business Hub before version 1.17.0 allowed an authenticated user to save jobs of other users as if there were saved by the job owner. The attacker must have permissions to access the jobs but then they were saved into the catalog service using the wrong owner permissions. Therefore it may have been possible to save into spaces where the attacker does not have write permissions.
There is no workaround.