CWE-843 · Обращение к ресурсу с использованием несовместимого типа («Смешение типов»)

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-843БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Обращение к ресурсу с использованием несовместимого типа («Смешение типов»)

Продукт выделяет или инициализирует ресурс, такой как указатель, объект или переменная, используя один тип, но впоследствии обращается к нему с использованием типа, несовместимого с исходным.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2021-33970Уязвимость переполнения буфера в Qihoo 360 Chrome v13.0.2170.0 позволяет злоумышленнику повысить привилегии.

CVE-2010-2299Функция Clipboard::DispatchObject в app/clipboard/clipboard.cc в Google Chrome до 5.0.375.70 неправильно обрабатывает объекты CBF_SMBITMAP в сообщении ViewHostMsg_ClipboardWriteObjectsAsync, что может позволить удаленным злоумышленникам выполнять произвольный код через векторы, включающие специально созданные данные из процесса рендеринга, связанные с проблемой "Type Confusion".

CVE-2026-4702Выполнение произвольного кода в Mozilla Firefox

CVE-2026-4698Выполнение произвольного кода в Mozilla Firefox

CVE-2026-40446Доступ ресурса с использованием уязвимости несовместимого типа («типа путаницы») в Samsung Open Source Escargot позволяет манипулировать указательами. Эта проблема затрагивает Escargot: 97e8115ab1110bc502b5b5e4a0c689a71520d335.

CVE-2026-2796Выполнение произвольного кода в Mozilla Firefox и Thunderbird

CVE-2025-70023Проблема, относящаяся к CWE-843: Доступ ресурсов с использованием несовместимого типа был обнаружен в трансloadit uppy v0.25.6.

CVE-2025-65570Спутанность типа в jsish 2.0 позволяет неправильно контролировать поток во время выполнения OP_NEXT opcode. Когда выражение «вступление» использует доступ к элементу массива в качестве левого операнда внутри цикла «в-в-в», реализация инструкций оставляет дополнительную ссылку на массив на стеке, а не потребляет его во время OP_INSTANCEOF. В результате OP_NEXT интерпретирует массив как объект итератора и считывает указатель функции iterCmd из невероятную структуру, что может привести к сбою или разрешающее выполнение кода в зависимости от макета кучи.

CVE-2025-59717В пакете @digitalocean/do-markdownit версии до 1.16.1 (в npm), плагины callout и fence_environment выполняют сопоставление подстрок методом .includes, если allowedClasses или allowedEnvironments является строкой (вместо массива). Это позволяет обойти ограничения и внедрить неавторизованные классы или окружения, что может привести к обходу авторизации и потенциальному повышению привилегий [1]. Источники: - [1] https://github.com/digitalocean/do-markdownit - [2] https://gist.github.com/thesmartshadow/dd19665f1f51a4e3c7a766e70c9eafd0 - [3] https://www.npmjs.com/package/@digitalocean/do-markdownit

CVE-2025-48756В crate scsir версии 0.2.0 для Rust может произойти переполнение в group_number, поскольку аппаратное устройство может ожидать небольшое количество бит (например, 5 бит) для номера группы. Источники: - [1] https://crates.io/crates/scsir - [2] https://github.com/maboroshinokiseki/scsir/issues/4

CVE-2025-47151Уязвимость типа путаницы существует в функциональности lasso_node_impl_init_from_xml Entr'ouvert Lasso 2.5.1 и 2.8.2. Специально созданный ответ SAML может привести к произвольному исполнению кода. Злоумышленник может отправить деформированный ответ SAML, чтобы вызвать эту уязвимость.

CVE-2025-22435В avdt_msg_ind файла avdt_msg.cc обнаружена возможная коррупция памяти из-за несоответствия типов. Это может привести к повышению привилегий сопряженного устройства без необходимости дополнительных прав. Для эксплуатации не требуется взаимодействие с пользователем. Проблема устранена в AOSP версиях 13, 14, 15 [1]. Источники: - [1] https://android.googlesource.com/platform/packages/modules/Bluetooth/+/efa5f4ef386a8947f4777840c5cefff389740e86 - [2] https://source.android.com/security/bulletin/2025-04-01

CVE-2025-10585В V8‑движке Google Chrome версии до 140.0.7339.185 обнаружено нарушение типизации (type confusion), позволяющее удалённому злоумышленнику через специально сформированную HTML‑страницу вызвать корррупцию кучи, что может привести к выполнению произвольного кода [1]. Уязвимость классифицируется как CVE‑2025‑10585 с высоким уровнем опасности (Chromium security severity: High) [2]. Эксплойт уже наблюдается в дикой среде, а исправление включено в стабильный канал версии 140.0.7339.185/186. Источники: - [1] https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html - [2] https://issues.chromium.org/issues/445380761

CVE-2025-0147Несоответствие типов в Zoom Workplace App для Linux до версии 6.2.10 может позволить авторизованному пользователю провести повышение привилегий через сетевой доступ.

CVE-2024-8385Разница в обработке StructFields и ArrayTypes в WASM могла быть использована для запуска эксплуатируемой уязвимости, связанной с путаницей типов. Эта уязвимость затрагивает Firefox < 130, Firefox ESR < 128.2 и Thunderbird < 128.2.