CWE-862КлассНеполный
Отсутствие авторизации
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2026-34976Dgraph — это распределенная база данных GraphQL с открытым исходным кодом. До 25.3.1, мутация админа восстановленияTenant отсутствует в авторизационной промежуточной конфигурации (admin.go), что делает ее полностью неаутентифицированной. В отличие от аналогичной мутации восстановления, которая требует аутентификации Guardian-of-Galaxy, восстановлениеTenant выполняет с нулевым промежуточным программным обеспечением. Эта мутация принимает контролируемые злоубойка серверами резервного копирования URL-адреса (включая файл:// для доступа к локальной файловой системе), учетные данные S3/MinIO, пути шифрования ключевых файлов и пути учетных данных Vault. Неаутентифицированный злоумышленник может перезаписать всю базу данных, прочитать файлы на стороне сервера и выполнить SSRF. Эта уязвимость зафиксирована в пункте 25.3.1.
CVE-2026-2031Уязвимость неправильный контроль доступа в нескольких внутренних конечных точках API для интеграции облачных приложений Google до 2026-01-23 позволяет удаленному, неаутентифицированному злоумышленнику раскрывать конфиденциальную внутреннюю информацию и выполнять произвольный код с использованием специально созданных HTTP-запросов для непреднамеренно обнажаемых внутренних конечных точек API.
CVE-2025-45854JEHC-BPM 2.0.1 содержит уязвимость удаленного выполнения команд в компоненте /server/executeExec, позволяющую злоумышленникам выполнять произвольный код без авторизации [1]. Уязвимый метод executeExec принимает параметры, переданные пользователем, и выполняет команды без надлежащей проверки.
Источники:
- [1] https://gitee.com/jehc/JEHC-BPM
- [2] https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460
- [3] https://web.archive.org/web/20250604134020/https://gist.github.com/Cafe-Tea/bc14b38f4bfd951de2979a24c3358460/revisions
CVE-2025-30416Конфиденциальное раскрытие данных и манипулирование из-за отсутствия авторизации. Затрагиваются следующие продукты: Acronis Cyber Protect 16 (Linux, Windows) перед сборкой 39938, Acronis Cyber Protect 15 (Linux, Windows) перед сборкой 41800.
CVE-2025-22609Coolify — это инструмент с открытым исходным кодом и самохостинга для управления серверами, приложениями и базами данных. До версии 4.0.0-beta.361 отсутствующая авторизация позволяет любому аутентифицированному пользователю прикрепить любой существующий приватный ключ на экземпляре coolify к своему собственному серверу. Если серверная конфигурация IP/домен, порт (скорее всего 22) и пользователь (root) совпадает с конфигурацией сервера жертвы, то злоумышленник может использовать функцию `Terminal` и выполнять произвольные команды на сервере жертвы. В версии 4.0.0-beta.361 данная проблема исправлена.
CVE-2024-6500Плагин InPost for WooCommerce и плагин InPost PL для WordPress уязвимы для несанкционированного доступа и удаления данных из-за отсутствия проверки возможностей в функции 'parse_request' во всех версиях до 1.4.0 включительно (для InPost for WooCommerce), а также 1.4.4 (для InPost PL). Это делает возможным для неаутентифицированных злоумышленников читать и удалять произвольные файлы на серверах Windows. На серверах Linux будут удалены только файлы внутри установки WordPress, но все файлы могут быть прочитаны.
CVE-2024-6071PTC Creo Elements/Direct License Server предоставляет веб-интерфейс, который может быть использован не прошедшими проверку подлинности удаленными злоумышленниками для выполнения произвольных команд ОС на сервере.
CVE-2024-52416Отсутствие авторизации в Eugen Bobrowski Debug Tool позволяет загрузить веб-оболочку на веб-сервер. Эта проблема затрагивает Debug Tool: от n/a до 2.2.
CVE-2024-33566Отсутствие авторизации в N-Media OrderConvo позволяет осуществить внедрение команд ОС. Эта проблема затрагивает OrderConvo: от n/a до 12.4.
CVE-2024-2086Плагин Integrate Google Drive – Browse, Upload, Download, Embed, Play, Share, Gallery, and Manage Your Google Drive Files Into Your WordPress Site для WordPress уязвим для несанкционированного доступа к данным, изменения данных и потери данных из-за отсутствия проверки прав доступа к нескольким AJAX во всех версиях до 1.3.8 включительно. Это позволяет аутентифицированным злоумышленникам изменять настройки плагина, а также предоставлять полный доступ для чтения/записи/удаления к Google Drive, связанному с плагином.
CVE-2024-10575CWE-862: Существует уязвимость, связанная с отсутствием авторизации, которая может привести к несанкционированному доступу при включении в сети и потенциально повлиять на подключенные устройства.
CVE-2022-0543Было обнаружено, что redis, постоянная база данных типа «ключ-значение», из-за проблемы с упаковкой подвержена (специфичному для Debian) выходу из песочницы Lua, что может привести к удаленному выполнению кода.
CVE-2021-31921Istio версий до 1.8.6 и 1.9.x до 1.9.5 содержит удаленно эксплуатируемую уязвимость, при которой внешний клиент может получить доступ к неожиданным службам в кластере, обходя проверки авторизации, когда шлюз настроен с конфигурацией маршрутизации AUTO_PASSTHROUGH.
CVE-2026-46425Budibase - это платформа с открытым исходным кодом с низким кодом. До 3.38.2 пакеты/рабочий/сержант/api/routes/global/scim.ts прикрепляет к маршрутизатору SCIM только два промежуточных повестка: mustSCIM (проверяет флаг объекта Enterprise и конфигурация SCIM) и doInScimContext (устанавливает контекст запроса SCIM). Нет никакой проверки роли. Любой аутентифицированный пользователь, который достигает работника (работа BASIC, конструктор с рабочим пространством, любой), может вызывать конечные точки SCIM и CRUD каждого пользователя и группу в арендаторе. Эта уязвимость зафиксирована в 3.38.2.
CVE-2026-45625Arcane - это интерфейс для управления контейнерами Docker, изображениями, сетями и объемами. До 1.19.0 химический REST API Arcane обнажает девять конечных точек под /api/customize/git-repositories и /api/git-repositories/sync для управления хранилищами источников GitOps и их хранимыми учетными данных. Восемь из этих конечных точек (список, создание, получение, обновление, удаление, тестирование, ветви списков, просмотров файлов) никогда не вызывают помощника checkAdmin (ctx), который использует любой другой управляемый ресурс (контейнерные реестры, среды, пользователи, ключи API, рой, настройки, системы, уведомления, события), а промежуточный аппарат huma authentication намеренно обеспечивает только аутентификацию. В результате любой зарегистрированный пользователь с ролью пользователя по умолчанию может перечислять, создавать, изменять, удалять и тестировать конфигурации хранилища git. Перенаправляя URL существующего хранилища на управляемый злоумышленником хост при опускании полей токенов/sshKey (которые UpdateRepository только перепишет при явном поставке), злоумышленник заставляет Arcane расшифровку законного ключа PAT/SSH на своем следующем /тесте /вификациях или /файлах вызова и представить его как HTTP Basic auth (или SSH-ключ). Эта уязвимость зафиксирована в 1.19.0.