CWE-840КатегорияНеполный
Ошибки бизнес-логики
Слабости в данной категории выявляют ряд основных проблем, которые часто позволяют злоумышленникам манипулировать бизнес-логикой приложения. Ошибки бизнес-логики могут быть разрушительными для всего приложения. Их сложно обнаружить автоматически, поскольку они, как правило, связаны с легитимным использованием функциональности приложения. Вместе с тем многие ошибки бизнес-логики демонстрируют закономерности, схожие с хорошо известными слабостями реализации и проектирования.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2022-4719Ошибки бизнес-логики в репозитории GitHub ikus060/rdiffweb до версии 2.5.5.
CVE-2022-3363Ошибки бизнес-логики в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a7.
CVE-2022-32207Когда curl < 7.84.0 сохраняет cookie-файлы, alt-svc и данные hsts в локальные файлы, он делает операцию атомарной, завершая операцию переименованием из временного имени в конечное целевое имя файла. В этой операции переименования он может случайно *расширить* разрешения для целевого файла, оставив обновленный файл доступным для большего числа пользователей, чем предполагалось.
CVE-2021-4171calibre-web уязвим для ошибок бизнес-логики.
CVE-2025-2938В GitLab CE/EE была обнаружена проблема, затрагивающая все версии от 17.3 до 17.11.5, 18.0 до 18.0.3 и 18.1 до 18.1.1, что могло бы позволить аутентифицированным пользователям получить повышенные приоритеты проекта, запрашивая доступ к проектам, где изменения ролей в процессе утверждения привели к непреднамеренным грантам разрешений.
CVE-2023-6514В модуле Bluetooth некоторых продуктов Huawei Smart Screen обнаружена уязвимость обхода аутентификации личности. Успешная эксплуатация этой уязвимости может позволить злоумышленникам получить доступ к ограниченным функциям.
Успешная эксплуатация этой уязвимости может позволить злоумышленникам получить доступ к ограниченным функциям.
CVE-2022-0935Инъекция заголовка хоста при сбросе пароля в репозитории GitHub livehelperchat/livehelperchat до версии 3.97.
CVE-2019-3787Cloud Foundry UAA, версии до 73.0.0, возвращается к добавлению «unknown.org» к адресу электронной почты пользователя, если он не указан и имя пользователя не содержит символ @. Этот домен принадлежит частной компании, что приводит к векторам атак, включая электронные письма восстановления пароля, отправляемые на потенциально мошеннический адрес. Это позволит злоумышленнику получить полный контроль над учетной записью пользователя.
CVE-2026-1322Получение конфиденциальной информации в Gitlab
CVE-2025-1908В GitLab EE/CE обнаружена проблема, которая может позволить злоумышленнику отслеживать активность пользователей в браузере, потенциально приводя к полному захвату аккаунта. Проблема затрагивает все версии с 16.6 до 17.9.7, 17.10 до 17.10.5 и 17.11 до 17.11.1. Источники:
- [1] https://gitlab.com/gitlab-org/gitlab/-/issues/523065
- [2] https://hackerone.com/reports/3016623
CVE-2024-56449Уязвимость повышения привилегий в модуле Account. Влияние: Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность службы.
CVE-2024-54098Уязвимость ошибки логики обслуживания в модуле системной службы. Успешная эксплуатация этой уязвимости может повлиять на целостность обслуживания.
CVE-2024-51523Уязвимость управления информацией в модуле Gallery. Эксплуатация этой уязвимости может повлиять на конфиденциальность сервиса.
CVE-2024-45424Ошибка логики бизнеса в некоторых приложениях Zoom Workplace может позволить неаутентифицированному пользователю осуществить раскрытие информации через сетевой доступ.
CVE-2024-2267В keerti1924 Online-Book-Store-Website 1.0 обнаружена уязвимость, классифицированная как проблематичная. Эта проблема затрагивает некоторую неизвестную обработку файла /shop.php. Манипуляция аргументом product_price приводит к ошибкам в бизнес-логике. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатор VDB-256037 был присвоен этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заблаговременно по поводу этого раскрытия, но он никак не отреагировал.