Уязвимость повышения привилегий клиента NuGet.
Уязвимость повышения привилегий клиента NuGet.
Слабости этой категории связаны с управлением разрешениями, привилегиями и другими функциями безопасности, применяемыми для контроля доступа.
https://cwe.mitre.org/data/definitions/264.html →Открыть в коллекции CWE →Продукт не назначает, не изменяет, не отслеживает или не проверяет должным образом привилегии субъекта, формируя для него непредусмотренную сферу управления.
https://cwe.mitre.org/data/definitions/269.html →Открыть в коллекции CWE →Код использует кэш, содержащий конфиденциальные сведения, однако этот кэш может быть прочитан субъектом за пределами предусмотренной сферы контроля.
https://cwe.mitre.org/data/definitions/524.html →Открыть в коллекции CWE →Злоумышленник обнаруживает метод управления правами в стиле REST HTTP (Get, Put, Delete), позволяющий ему выполнять различные вредоносные действия с данными на сервере вследствие отсутствия механизмов контроля доступа в сервисе приложения, принимающем HTTP-сообщения.
https://capec.mitre.org/data/definitions/58.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует возможности цели, которые должны быть зарезервированы для привилегированных пользователей или администраторов, но доступны непривилегированным или менее привилегированным учётным записям. Доступ к конфиденциальным данным и функциональности должен быть разграничен таким образом, чтобы только авторизованные пользователи могли обращаться к этим ресурсам.
https://capec.mitre.org/data/definitions/122.html →Открыть в коллекции CAPEC →Злоумышленник исследует кэш целевого приложения или кэш браузера на предмет конфиденциальных сведений. Многие приложения, взаимодействующие с удалёнными объектами или выполняющие ресурсоёмкие вычисления, используют кэши для повышения эффективности. Однако если приложение вычисляет или получает конфиденциальную информацию, а кэш должным образом не защищён, злоумышленник может просматривать кэш и извлекать эту информацию. В результате возможно раскрытие конфиденциальных сведений.
https://capec.mitre.org/data/definitions/204.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость, позволяющую ему повышать свои привилегии и выполнять действия, к которым он не должен иметь авторизации.
https://capec.mitre.org/data/definitions/233.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| dotnet3.1 | Отслеживается | |
| dotnet6 | Отслеживается | |
| dotnet6 | Отслеживается | |
| dotnet6.0 | Отслеживается | |
| dotnet6.0 | Отслеживается | |
| dotnet7.0 | Отслеживается | |
| dotnet7.0 | Отслеживается | |
| nuget | Отслеживается | |
| rh-dotnet31-dotnet | Отслеживается | |
| rh-dotnet60-dotnet | Отслеживается | |
| .net | * | Отслеживается |
| .net_core | * | Отслеживается |
| fedora | * | Отслеживается |
| visual_studio_2019 | * | Отслеживается |
| visual_studio_2022 | * | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |
| Windows | Microsoft | Отслеживается |