V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
CWE-770БазаНеполный
Абстракция: База
Статус: Неполный
Источник ↗

Выделение ресурсов без ограничений или регулирования

Программный продукт выделяет повторно используемый ресурс или группу ресурсов от имени субъекта, не накладывая предусмотренных ограничений на размер или количество выделяемых ресурсов.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-125
Флудинг
CAPEC-130
Избыточное распределение ресурсов
CAPEC-147
XML-атака «Ping of the Death»
CAPEC-197
Экспоненциальное расширение данных
CAPEC-229
Раздувание параметров сериализованных данных
CAPEC-230
Сериализованные данные с вложенными полезными нагрузками
CAPEC-231
Чрезмерно большие полезные нагрузки сериализованных данных
CAPEC-469
HTTP DoS (атака)
CAPEC-482
TCP-флуд
CAPEC-486
UDP-флуд
CAPEC-487
ICMP-флуд
CAPEC-488
HTTP-флуд
CAPEC-489
SSL-флуд
CAPEC-490
Усиление
CAPEC-491
Квадратичное расширение данных
CAPEC-493
Взрыв SOAP-массива
CAPEC-494
Фрагментация TCP
CAPEC-495
Фрагментация UDP
CAPEC-496
Фрагментация ICMP
CAPEC-528
XML-флуд

Связанные уязвимости

CVE-2025-11832Распределение ресурсов без лимитов или уязвимости в технологии Azure Access BLU-IC2, Azure Access Technology BLU-IC4 позволяет наводнение.Эта проблема затрагивает BLU-IC2: до 1,19.5; BLU-IC4: до 1.19.5.
CVE-2026-31283В Totara LMS v19.1.5 и ранее забытый пароль API не реализует ограничение тарифа для целевого адреса электронной почты, который можно использовать для атаки Email Bombing. ПРИМЕЧАНИЕ: Позиция Поставщика заключается в том, что конфигурация pwresettime по умолчанию до 30 минут, конфигурация pwresettime представляет собой жесткий контроль, применяемый с помощью флага PWRESET_STATUS_ALREADYSENT, и никаких дальнейших сообщений электронной почты с перезагрузкой пароля не отправляется, если этот флаг активен для конкретного адреса электронной почты.
CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.
CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.
CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.
CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.
CVE-2021-38297Go до 1.16.9 и 1.17.x до 1.17.2 имеет переполнение буфера из-за больших аргументов при вызове функции из модуля WASM, когда используется GOARCH=wasm GOOS=js.
CVE-2021-3401Bitcoin Core до версии 0.19.0 может позволить удаленным злоумышленникам выполнять произвольный код, когда другое приложение небезопасно передает аргумент -platformpluginpath программе bitcoin-qt, как продемонстрировано обработчиком x-scheme-handler/bitcoin для файла .desktop или веб-браузера. ПРИМЕЧАНИЕ: обнаружитель заявляет, что "Я считаю, что эта уязвимость на самом деле не может быть использована".
CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.
CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.
CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2025-22273Приложение не ограничивает количество или частоту взаимодействий пользователей, таких как количество входящих запросов. По адресу "/EPMUI/VfManager.asmx/ChangePassword" возможно осуществить атаку грубой силой на текущий используемый пароль. Эта проблема затрагивает CyberArk Endpoint Privilege Manager в версии SaaS 24.7.1. Статус других версий неизвестен. После нескольких попыток связаться с поставщиком мы не получили никакого ответа.