CWE-821 · Некорректная синхронизация

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-821БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Некорректная синхронизация

Продукт использует общий ресурс в конкурентном режиме, но не обеспечивает корректную синхронизацию доступа к нему.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-1739lunary-ai/lunary уязвим для проблемы аутентификации из-за неправильной проверки адресов электронной почты во время процесса регистрации. В частности, сервер не обрабатывает адреса электронной почты как нечувствительные к регистру, что позволяет создавать несколько учетных записей с одним и тем же адресом электронной почты, изменяя регистр символов электронной почты. Например, можно создать учетные записи для 'abc@gmail.com' и 'Abc@gmail.com', что приведет к потенциальному олицетворению и путанице среди пользователей.

CVE-2022-1931Неправильная синхронизация в репозитории GitHub polonel/trudesk до версии 1.2.3.

CVE-2026-43023Отказ в обслуживании в Linux

CVE-2024-1902lunary-ai/lunary уязвим для атаки повторного использования сеанса, позволяющей удаленному пользователю изменять название организации без надлежащей авторизации. Уязвимость возникает из-за отсутствия проверки, чтобы убедиться, что пользователь все еще является частью организации, прежде чем разрешить ему вносить изменения. Злоумышленник может использовать это, используя старый токен авторизации для отправки запроса PATCH, изменяя название организации даже после удаления из организации. Эта проблема связана с неправильной синхронизацией и затрагивает маршрут orgs.patch.

CVE-2023-25730Фоновый скрипт, вызывающий <code>requestFullscreen</code>, а затем блокирующий основной поток, может принудительно перевести браузер в полноэкранный режим на неопределенный срок, что приведет к потенциальной путанице пользователя или атакам с подменой. Эта уязвимость затрагивает Firefox < 110, Thunderbird < 102.8 и Firefox ESR < 102.8.

CVE-2026-21919Уязвимость неправильная синхронизация в демоне управления (mgd) Juniper Networks Junos OS и Junos OS Evolved позволяет сетевому злоумышленнику с низкими привилегиями вызывать полный отказ в обслуживании (DoS) самолета управления. Когда сеансы NETCONF быстро устанавливаются и отключаются, проблема блокировки приводит к тому, что процессы MG висят в непригодном для использования состоянии. Когда было достигнуто максимальное количество процессов МГД, никаких новых логинов не возможны. Это приводит к невозможности управлять устройством и требует цикла питания для восстановления. Эту проблему можно контролировать путем проверки процессов в состоянии блокировки в выходе «экспонируют процессы экстенсивной системы»: user@host> шоу системные процессы обширные | match mgd <pid> root 20 0 501M 4640K блокировка 1 0:01 0,00% мгд Если к системе все еще можно получить доступ (либо через CLI, либо как корень, что все еще может быть возможно в последней инстанции, поскольку это не вызовет mgd), mgd процессы в этом состоянии могут быть убиты с помощью «процесса системы запроса», завершающихся <PID> из CLI или с помощью «убийства -9 <PID>» из оболочки. Эта проблема затрагивает: Junos OS: * 23.4 версии до 23.4R2-S4, * 24.2 версии до 24.2R2-S1, * 24.4 версии до 24.4R1-S3, 24.4R2; Этот выпуск не затрагивает версии Junos OS до 23.4R1; Junos OS Эволюционировали: * 23.4 версии до 23.4R2-S5-EVO, * 24.2 версии до 24.2R2-S1-EVO, * 24.4 версии перед 24.4R1-S3-EVO, 24.4R2-EVO. Этот выпуск не затрагивает Junos OS Evolved версии до 23.4R1-EVO;

CVE-2024-6657Отказ в обслуживании может быть вызван для одного периферийного устройства в сети BLE, когда несколько центральных устройств непрерывно подключаются и отключаются от периферийного устройства. Для восстановления периферийного устройства требуется аппаратная перезагрузка.

CVE-2023-5088Ошибка в QEMU может привести к тому, что операция ввода-вывода гостя, в противном случае адресованная произвольному смещению диска, будет нацелена вместо этого на смещение 0 (что потенциально приведет к перезаписи загрузочного кода виртуальной машины). Это может быть использовано, например, гостями L2 с виртуальным диском (vdiskL2), хранящимся на виртуальном диске гипервизора L1 (vdiskL1), для чтения и/или записи данных в LBA 0 vdiskL1, что потенциально позволит получить контроль над L1 при следующей перезагрузке.

CVE-2021-47189В ядре Linux устранена следующая уязвимость: btrfs: исправление порядка памяти между обычными и упорядоченными рабочими функциями. Не гарантируется, что упорядоченные рабочие функции будут обрабатываться тем же потоком, который выполнял обычные рабочие функции. Единственный способ синхронизации выполнения между обычными/упорядоченными функциями — через WORK_DONE_BIT, к сожалению, используемые битовые операции не гарантируют никакого порядка вообще. Это проявлялось как кажущиеся необъяснимыми сбои на ARM64, где async_chunk::inode рассматривается как не-null в async_cow_submit, что приводит к вызову submit_compressed_extents и сбою, поскольку async_chunk::inode внезапно стал NULL. Трассировка вызовов была похожа на: pc : submit_compressed_extents+0x38/0x3d0 lr : async_cow_submit+0x50/0xd0 sp : ffff800015d4bc20 <Регистры опущены для краткости> Call trace: submit_compressed_extents+0x38/0x3d0 async_cow_submit+0x50/0xd0 run_ordered_work+0xc8/0x280 btrfs_work_helper+0x98/0x250 process_one_work+0x1f0/0x4ac worker_thread+0x188/0x504 kthread+0x110/0x114 ret_from_fork+0x10/0x18 Исправьте это, добавив соответствующие вызовы барьера, которые гарантируют, что все обращения, предшествующие установке WORK_DONE_BIT, строго упорядочены до установки флага. В то же время добавьте барьер чтения после чтения WORK_DONE_BIT в run_ordered_work, который гарантирует, что все последующие загрузки будут строго упорядочены после чтения бита. Это, в свою очередь, гарантирует, что все обращения до WORK_DONE_BIT будут строго упорядочены перед любым обращением, которое может произойти в ordered_func.

CVE-2024-5755В lunary-ai/lunary версий <=v1.2.11 злоумышленник может обойти проверку электронной почты, используя символ точки ('.') в адресе электронной почты. Это позволяет создавать несколько учетных записей, по сути, с одним и тем же адресом электронной почты (например, 'attacker123@gmail.com' и 'attacker.123@gmail.com'), что приводит к неправильной синхронизации и потенциальным проблемам с безопасностью.

CVE-2024-58133В chainmaker-go (также известном как ChainMaker) до версии 2.4.0, при частых обновлениях файла конфигурации узла и перезагрузке этого узла неуправляемые одновременные записи от logger.go в карту обрабатываются неправильно. Создание других журналов одновременно может привести к конфликту чтения-записи и панике.

CVE-2024-58132В chainmaker-go (также известном как ChainMaker) до версии 2.3.6 множественные обновления конфигурации одного узла могут привести к тому, что другие нормальные узлы выполнят одновременные операции чтения и записи на карте, что вызывает панику.

CVE-2024-58131У версии FISCO BCOS 3.11.0 есть проблема с синхронизацией пула транзакций, которую можно наблюдать, например, когда вредоносный узел (который изменил кодовую базу, чтобы разрешить большое значение min_seal_time) присоединяется к сети блокчейнов.

CVE-2024-4278Проблема раскрытия информации была обнаружена в GitLab EE, затрагивающей все версии, начиная с 16.5 до 17.2.8, с 17.3 до 17.3.4 и с 17.4 до 17.4.1. Обслуживающий персонал может получить пароль Dependency Proxy, отредактировав определенный параметр Dependency Proxy.