CVEbaza.plSłownik CWECWE-1390
Common Weakness Enumeration

CWE-1390

Weak Authentication

Kategoria: ClassCVE: 82
Opis

Produkt wykorzystuje mechanizm autentykacji w celu ograniczenia dostępu do określonych użytkowników lub tożsamości, jednak mechanizm ten nie wystarczająco potwierdza, że podana tożsamość jest prawidłowa. Takie słabe mechanizmy autentykacji mogą pozwolić napastnikom na nieuprawnionym dostęp do systemu.

Description (EN)

The product uses an authentication mechanism to restrict access to specific users or identities, but the mechanism does not sufficiently prove that the claimed identity is correct.

Podatności CVE z CWE-1390 (82)
10.0
CVSS
CRITICAL
CVE-2025-30411

W produktach Acronis Cyber Protect 15 i 16 wykryto krytyczną podatność polegającą na nieprawidłowej weryfikacji tożsamości (improper authentication), sklasyfikowaną jako CWE-1390. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne ujawnienie i manipulację wrażliwymi danymi bez jakiejkolwiek interakcji użytkownika.

pub. 2026-02-20
10.0
CVSS
CRITICAL
CVE-2025-30412

Podatność w Acronis Cyber Protect wynika z nieprawidłowej weryfikacji uwierzytelniania (CWE-1390), co umożliwia nieautoryzowanym atakującym dostęp do poufnych danych oraz ich modyfikację. Podatność otrzymała maksymalną ocenę CVSS 10.0, co klasyfikuje ją jako krytyczną.

pub. 2026-02-20
9.8
CVSS
CRITICAL
CVE-2026-6274

Podatność w urządzeniu Redline WR3200 firmy DTS Electronics umożliwia ominięcie mechanizmów uwierzytelnienia i uzyskanie dostępu do krytycznych funkcji bez podawania danych logowania. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.

pub. 2026-06-05
9.8
CVSS
CRITICAL
CVE-2026-28710

Podatność w Acronis Cyber Protect 17 (Linux i Windows) umożliwia nieuprawniony dostęp do wrażliwych informacji oraz ich modyfikację z powodu nieprawidłowej implementacji mechanizmu uwierzytelniania. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości przeprowadzenia ataku zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

pub. 2026-03-06
9.8
CVSS
CRITICAL
CVE-2025-40552

W aplikacji SolarWinds Web Help Desk wykryto krytyczną podatność typu authentication bypass, umożliwiającą nieuwierzytelnionemu atakującemu wykonanie akcji i metod chronionych mechanizmem uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8, co czyni ją jednym z najpoważniejszych zagrożeń dla środowisk korzystających z tego produktu.

pub. 2026-01-28
9.8
CVSS
CRITICAL
CVE-2025-40554

W aplikacji SolarWinds Web Help Desk wykryto krytyczną podatność umożliwiającą obejście mechanizmu uwierzytelnienia. Nieprawidłowe sprawdzanie tożsamości (CWE-1390) pozwala nieuwierzytelnionemu atakującemu na wykonywanie określonych akcji w systemie bez posiadania prawidłowych poświadczeń.

pub. 2026-01-28
9.8
CVSS
CRITICAL
CVE-2025-63807

W aplikacji 2Dogz Blogin (projekt university-bbs) odkryto krytyczną podatność polegającą na słabym mechanizmie generowania kodów weryfikacyjnych w połączeniu z brakiem ograniczenia liczby prób. Umożliwia to nieuwierzytelnionemu atakującemu przeprowadzenie ataku brute-force i przejęcie konta ofiary.

pub. 2025-11-20
9.8
CVSS
CRITICAL
CVE-2025-39596

Wtyczka Quentn WP dla WordPress w wersji do 1.2.8 zawiera podatność typu Weak Authentication (CWE-1390), która umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Ocena CVSS 9.8 (Critical) wskazuje na bardzo wysokie ryzyko dla stron opartych na WordPress.

pub. 2025-04-17
9.8
CVSS
CRITICAL
CVE-2025-1387

Orca HCM firmy Learning Digital zawiera krytyczną podatność typu Improper Authentication, która pozwala nieuwierzytelnionemu atakującemu zalogować się do systemu jako dowolny użytkownik. Zagrożenie ma charakter zdalny i nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.

pub. 2025-02-17
9.8
CVSS
CRITICAL
CVE-2024-13239

Moduł Two-Factor Authentication (TFA) dla Drupal zawiera podatność słabego uwierzytelniania (CWE-1390), która umożliwia nadużycie mechanizmu uwierzytelniania. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla systemów Drupal korzystających z tego modułu.

pub. 2025-01-09
9.8
CVSS
CRITICAL
CVE-2023-49340

Podatność w kioskach interaktywnych Newland Nquire 1000 umożliwia zdalnym atakującym ominięcie mechanizmów uwierzytelnienia oraz eskalację uprawnień bez żadnych poświadczeń. Błędna kontrola dostępu w portalu zarządzania webowego czyni urządzenie w pełni podatnym na przejęcie przez sieć.

pub. 2024-03-09
9.8
CVSS
CRITICAL
CVE-2022-43400

A vulnerability has been identified in Siveillance Video Mobile Server V2022 R2 (All versions < V22.2a (80)). The mobile server component of affected applications improperly handles the log in for Active Directory accounts that are part of Administrators group. This could allow an unauthenticated remote attacker to access the application without a valid account.

pub. 2022-10-21
9.3
CVSS
CRITICAL
CVE-2026-6886

Borg SPM 2007 (produkt firmy BorG Technology Corporation, którego sprzedaż zakończono w 2008 roku) zawiera krytyczną podatność typu Authentication Bypass. Nieuprawniony, zdalny atakujący może zalogować się do systemu jako dowolny użytkownik bez podawania prawidłowych poświadczeń.

pub. 2026-04-23
9.3
CVSS
CRITICAL
CVE-2023-53894

phpFileManager 1.7.9 zawiera podatność authentication bypass wynikającą z luźnego porównywania typów (type juggling) podczas walidacji skrótów haseł. Atakujący bez żadnych uprawnień może zalogować się do aplikacji i wgrać złośliwe pliki PHP na serwer.

pub. 2025-12-16
9.3
CVSS
CRITICAL
CVE-2025-12870

Podatność w systemie kadrowym a+HRD firmy aEnrich umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie tokenu dostępu administratora poprzez wysłanie spreparowanych pakietów sieciowych. Konsekwencją jest pełny nieautoryzowany dostęp do systemu z uprawnieniami administracyjnymi.

pub. 2025-11-12
9.3
CVSS
CRITICAL
CVE-2025-12871

System kadrowo-płacowy A+HRD firmy aEnrich zawiera podatność typu Authentication Abuse (CWE-1390), umożliwiającą nieuwierzytelnionemu atakującemu zdalne sfałszowanie tokenów dostępu na poziomie administratora. Pozwala to na pełne przejęcie systemu bez znajomości jakichkolwiek danych uwierzytelniających.

pub. 2025-11-12
9.3
CVSS
CRITICAL
CVE-2024-54092

Podatność w urządzeniach z rodziny Siemens Industrial Edge umożliwia nieuwierzytelnionemu atakującemu zdalne obejście mechanizmu uwierzytelnienia na wybranych punktach końcowych API. Luka jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a jej skuteczne wykorzystanie pozwala na przejęcie tożsamości legalnego użytkownika.

pub. 2025-04-08
9.3
CVSS
CRITICAL
CVE-2024-45367

Serwer WWW urządzenia ONS-S8 Spectra Aggregation Switch implementuje niekompletny proces uwierzytelniania, który umożliwia atakującemu zalogowanie się bez znajomości hasła. Podatność jest krytyczna, ponieważ dostęp do panelu administracyjnego przełącznika sieciowego może prowadzić do pełnego przejęcia kontroli nad urządzeniem.

pub. 2024-10-03
9.1
CVSS
CRITICAL
CVE-2026-27478

W Unity Catalog w wersji 0.4.0 i wcześniejszych istnieje krytyczna podatność umożliwiająca ominięcie uwierzytelniania (auth bypass) w endpointcie wymiany tokenów. Atakujący może podszyć się pod zaufanego użytkownika bez posiadania ważnych poświadczeń.

pub. 2026-03-11
9.1
CVSS
CRITICAL
CVE-2024-39848

Podatność w Internet2 Grouper umożliwia ominięcie mechanizmu uwierzytelniania LDAP poprzez użycie zakodowanych na stałe danych uwierzytelniających. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a atakujący może uzyskać dostęp do systemu przez sieć.

pub. 2024-06-29
Pokazano 20 z 82 podatności
Informacje
ID: CWE-1390
Typ: Class
Podatności: 82
MITRE CWE ↗
← Słownik CWE
CWE-1390 — Słaba Autentykacja | Słownik CWE | CVEbaza.pl