V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
CWE-940БазаНеполный
Абстракция: База
Статус: Неполный
Источник ↗

Некорректная проверка источника канала связи

Продукт устанавливает канал связи для обработки входящего запроса, инициированного субъектом, однако не обеспечивает надлежащей проверки того, что запрос поступает из ожидаемого источника.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-500
Внедрение в WebView
CAPEC-594
Внедрение трафика
CAPEC-595
Сброс соединения
CAPEC-596
Внедрение TCP RST

Связанные уязвимости

CVE-2024-40515Проблема в SHENZHEN TENDA TECHNOLOGY CO.,LTD Tenda AX2pro V16.03.29.48_cn позволяет удаленному злоумышленнику выполнять произвольный код через функциональность маршрутизации.
CVE-2024-38886Проблема в Horizon Business Services Inc. Caterease 16.0.1.1663 до 24.0.1.2405 и, возможно, в более поздних версиях, позволяет удаленному злоумышленнику выполнить атаку Traffic Injection из-за неправильной проверки источника канала связи.
CVE-2023-41355Функция брандмауэра Chunghwa Telecom NOKIA G-040W-Q имеет уязвимость проверки ввода для сообщений перенаправления ICMP. Неаутентифицированный удаленный злоумышленник может использовать эту уязвимость, отправив созданный пакет для изменения таблицы сетевой маршрутизации, что приведет к отказу в обслуживании или утечке конфиденциальной информации.
CVE-2023-41094Пакеты TouchLink, обработанные после истечения времени ожидания или вне диапазона из-за Operation on a Resource after Expiration и Missing Release of Resource after Effective Lifetime, могут позволить добавить устройство за пределами допустимого диапазона TouchLink или продолжительности сопряжения. Эта проблема затрагивает Ember ZNet 7.1.x от 7.1.3 до 7.1.5; 7.2.x от 7.2.0 до 7.2.3; Версия 7.3 и более поздние не подвержены уязвимости.
CVE-2026-33875Gematik Authenticator надежно аутентифицирует пользователей для входа в цифровые приложения для здоровья. Версии до 4.16.0 уязвимы для захвата потока аутентификации, что потенциально позволяет злоумышленникам аутентифицироваться с помощью идентификаторов пользователей-жертв, которые нажимают на вредоносную глубокую ссылку. Обновление Gematik Authenticator до версии 4.16.0 или выше, чтобы получить патч. Облака известных обходных пути нет.
CVE-2025-61932Lanscope Endpoint Manager (On-Premises) (клиентская программа (MR) и агент обнаружения (DA)) некорректно проверяет источник входящих запросов, что позволяет злоумышленнику выполнить произвольный код, отправив специально сформированные пакеты. Уязвимость относится к CWE‑940 (некорректная проверка источника канала связи) и затрагивает версии продукта до 9.4.7.1 включительно; облачная версия продукта не подвержена этой проблеме. По данным MOTEX Inc., уже зафиксирован случай получения вредоносного пакета, направленного на эксплуатацию этой уязвимости [1][2]. Для устранения рекомендуется обновить продукты до исправленных версий (см. список исправлений) или применить временный обходный путь, предоставленный разработчиком, до выпуска обновления. Источники: - [1] https://www.motex.co.jp/news/notice/2025/release251020/ - [2] https://jvn.jp/en/jp/JVN86318557/
CVE-2024-40516Проблема в H3C Technologies Co., Limited H3C Magic RC3000 RC3000V100R009 позволяет удаленному злоумышленнику выполнять произвольный код через функциональность маршрутизации.
CVE-2023-48387TAIWAN-CA(TWCA) JCICSecurityTool не проверяет исходный веб-сайт и места доступа при выполнении нескольких функций, связанных с реестром. В сценарии, когда пользователь использует JCICSecurityTool и завершил проверку личности, если пользователь просматривает вредоносную веб-страницу, созданную злоумышленником, злоумышленник может использовать эту уязвимость для чтения или изменения любого файла реестра в разделе HKEY_CURRENT_USER, тем самым достигая удаленного выполнения кода.
CVE-2023-3663В CODESYS Development System версий от 3.5.11.20 и до 3.5.19.20 отсутствие проверки целостности может позволить не прошедшему проверку подлинности удаленному злоумышленнику манипулировать содержимым уведомлений, полученных по HTTP сервером уведомлений CODESYS.
CVE-2025-40820Пострадавшие продукты не обеспечивают должным образом валидацию номеров TCP в конкретных сценариях, но принимают значения в широком диапазоне. Это может позволить неаутентифицированному удаленному злоумышленнику, например, вмешиваться в настройку соединения, что может привести к отказу в обслуживании. Атака удается только в том случае, если злоумышленник может вводить IP-пакеты с подделками адресов в точно определенные моменты времени, и она затрагивает только службы на основе TCP.
CVE-2019-25613Easy Chat Server 3.1 содержит уязвимость отказа в обслуживании, которая позволяет удаленным злоумышленникам сбивать приложение, отправляя негабаритные данные в параметре сообщения. Злоумышленники могут установить сеанс через конечную точку chat.ghp, а затем отправить запрос POST на body2.ghp с чрезмерно большим значением параметра сообщения, чтобы вызвать сбой службы.
CVE-2026-35643OpenClaw до 2026.3.22 содержит неподтвержденную уязвимость WebView JavascriptInterface, позволяющую злоумышленникам вводить произвольные инструкции. Ненадежные страницы могут вызывать мост холста для выполнения вредоносного кода в контексте приложения Android.
CVE-2025-23222Была обнаружена проблема в Deepin dde-api-proxy до версии 1.0.19, при которой непривилегированные пользователи могут получать доступ к D-Bus службам как root. В частности, dde-api-proxy работает от имени root и перенаправляет сообщения от произвольных локальных пользователей к устаревшим методам D-Bus в реальных службах D-Bus, и реальные службы D-Bus не знают о ситуации с прокси (они считают, что root просит их что-то сделать). В результате несколько проксируемых методов, которые не должны быть доступны непривилегированным пользователям, становятся доступными для непривилегированных пользователей. В ситуациях, где участвует Polkit, вызывающий будет рассматриваться как администратор, что приводит к аналогичной эскалации привилегий.
CVE-2024-1621Процесс регистрации приложений uniFLOW Online (продукт NT-ware) до версии 2024.1.0 включительно может быть скомпрометирован, если на арендаторе включен вход по электронной почте. Эти арендаторы, использующие вход по электронной почте в сочетании с Microsoft Safe Links или аналогичными, подвержены воздействию. Эта уязвимость может позволить злоумышленнику зарегистрироваться от имени настоящего пользователя в системе и предоставить вредоносным пользователям аналогичный доступ и возможности через приложение к существующему подлинному пользователю.
CVE-2026-40434Анвиз КроссЧекс Стандарт отсутствует проверка источника в канале клиент/сервер, включив TCP пакетная инъекция злоумышленником в той же сети для изменения или нарушения Прикладной трафик.