CVEbaza.plSłownik CWECWE-266
Common Weakness Enumeration

CWE-266

Incorrect Privilege Assignment

Kategoria: BaseCVE: 963
Opis

Produkt nieprawidłowo przydziela uprawnienia określonemu podmiotowi, tworząc niezamierzoną sferę kontroli dla tego podmiotu. Prowadzi to do uzyskania przez aktorę dostępu do zasobów lub funkcji, które nie powinny być dla niego dostępne.

Description (EN)

A product incorrectly assigns a privilege to a particular actor, creating an unintended sphere of control for that actor.

Podatności CVE z CWE-266 (963)
10.0
CVSS
CRITICAL
CVE-2026-48172

Wtyczka LiteSpeed User-End cPanel Plugin w wersjach przed 2.4.5 zawiera podatność umożliwiającą privilege escalation, potencjalnie do poziomu root. Błąd był aktywnie eksploatowany w środowisku produkcyjnym w maju 2026 roku.

pub. 2026-05-21🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2026-23800

Podatność nieprawidłowego przypisania uprawnień w pluginie Modular DS dla WordPress umożliwia atakującemu privilege escalation. Otrzymała maksymalny wynik CVSS 10.0, co wskazuje na krytyczny poziom zagrożenia bez wymagania jakiejkolwiek autoryzacji.

pub. 2026-01-16
10.0
CVSS
CRITICAL
CVE-2025-41115

W Grafana Enterprise i Grafana Cloud w wersji 12.x podatność w obsłudze tożsamości użytkowników podczas SCIM provisioning pozwala złośliwemu lub skompromitowanemu klientowi SCIM na eskalację uprawnień lub podszywanie się pod innych użytkowników. Podatność otrzymała maksymalny wynik CVSS 10.0 i może prowadzić do całkowitego przejęcia kontroli nad instancją.

pub. 2025-11-21
10.0
CVSS
CRITICAL
CVE-2025-34112

Wieloetapowa podatność umożliwiająca zdalne wykonanie kodu (RCE) z uprawnieniami root istnieje w wirtualnych urządzeniach Riverbed SteelCentral NetProfiler i NetExpress w wersji 10.8.7. Łańcuch exploitów łączy SQL injection, command injection oraz eskalację uprawnień, co skutkuje pełnym przejęciem kontroli nad urządzeniem.

pub. 2025-07-15
10.0
CVSS
CRITICAL
CVE-2024-9478

Podatność klasy Improper Privilege Management w produkcie upKeeper Instant Privilege Access umożliwia nieuprawnioną eskalację uprawnień. Błąd otrzymał maksymalną ocenę CVSS 10.0, co czyni go podatnością o krytycznym znaczeniu dla bezpieczeństwa.

pub. 2024-11-20
10.0
CVSS
CRITICAL
CVE-2024-9479

Podatność klasy privilege escalation w produkcie upKeeper Instant Privilege Access umożliwia nieuwierzytelnionemu atakującemu zdalne eskalowanie uprawnień. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — brak wymaganych uprawnień ani interakcji użytkownika.

pub. 2024-11-20
9.9
CVSS
CRITICAL
CVE-2026-42368

W urządzeniach GeoVision LPC2011 i LPC2211 (firmware 1.10) wykryto krytyczną podatność typu privilege escalation w interfejsie webowym. Atakujący z dostępem do konta o niskich uprawnieniach może poprzez specjalnie spreparowane żądanie HTTP wykonać operacje wymagające uprawnień administracyjnych.

pub. 2026-05-04
9.9
CVSS
CRITICAL
CVE-2026-22907

Podatność w oprogramowaniu urządzenia SICK TDC-X401GL umożliwia atakującemu uzyskanie nieautoryzowanego dostępu do systemu plików hosta. Zagrożenie jest krytyczne, ponieważ może prowadzić do odczytu i modyfikacji danych systemowych na urządzeniu przemysłowym.

pub. 2026-01-15
9.9
CVSS
CRITICAL
CVE-2025-62645

Podatność w platformie Restaurant Brands International (RBI) Assistant umożliwia uwierzytelnionemu zdalnie atakującemu uzyskanie tokenu z uprawnieniami administratora całej platformy. Zagrożenie jest krytyczne, ponieważ pozwala na przejęcie pełnej kontroli nad środowiskiem obejmującym wiele marek restauracyjnych.

pub. 2025-10-17
9.9
CVSS
CRITICAL
CVE-2025-10725

Podatność w Red Hat OpenShift AI Service umożliwia nisko uprzywilejowanemu użytkownikowi (np. data scientistowi korzystającemu ze standardowego Jupyter notebook) eskalację uprawnień do poziomu pełnego administratora klastra. Skutkuje to całkowitym przejęciem kontroli nad klastrem oraz wszystkimi hostowanymi na nim aplikacjami.

pub. 2025-09-30
9.9
CVSS
CRITICAL
CVE-2025-54049

Krytyczna podatność typu privilege escalation w wtyczce WordPress 'Custom API for WP' autorstwa miniOrange pozwala zalogowanemu użytkownikowi o niskich uprawnieniach na nieautoryzowane podwyższenie swoich uprawnień w systemie. Ze względu na wynik CVSS 9.9 i zmieniony zakres oddziaływania (Scope: Changed), podatność stanowi poważne zagrożenie dla bezpieczeństwa witryn WordPress.

pub. 2025-08-20
9.9
CVSS
CRITICAL
CVE-2025-26512

Podatność w NetApp SnapCenter umożliwia uwierzytelnionemu użytkownikowi serwera SnapCenter uzyskanie uprawnień administratora na zdalnym systemie, gdzie zainstalowano wtyczkę SnapCenter. Ze względu na wysoki wynik CVSS (9.9) i zakres wpływu obejmujący poufność, integralność oraz dostępność, podatność stanowi poważne zagrożenie dla środowisk korporacyjnych.

pub. 2025-03-24
9.9
CVSS
CRITICAL
CVE-2019-10940

A vulnerability has been identified in SINEMA Server (All versions < V14.0 SP2 Update 1). Incorrect session validation could allow an attacker with a valid session, with low privileges, to perform firmware updates and other administrative operations on connected devices. The security vulnerability could be exploited by an attacker with network access to the affected system. An attacker must have access to a low privileged account in order to exploit the vulnerability. An attacker could use the vulnerability to compromise confidentiality, integrity, and availability of the affected system and underlying components. At the time of advisory publication no public exploitation of this security vulnerability was known.

pub. 2020-01-16
9.8
CVSS
CRITICAL
CVE-2026-57692

Incorrect Privilege Assignment vulnerability in LCweb PrivateContent allows Privilege Escalation. This issue affects PrivateContent: from n/a through 9.9.2.

pub. 2026-07-01
9.8
CVSS
CRITICAL
CVE-2026-56028

Wtyczka Easy Elements for Elementor – Addons & Website Templates w wersji do 1.4.9 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, co czyni ją szczególnie niebezpieczną.

pub. 2026-06-26
9.8
CVSS
CRITICAL
CVE-2026-56030

Wtyczka Paytium dla WordPress w wersji 5.0.2 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Zagrożenie jest poważne, ponieważ nie wymaga żadnej autoryzacji ani interakcji użytkownika.

pub. 2026-06-26
9.8
CVSS
CRITICAL
CVE-2026-56033

Plugin Dokan Pro w wersjach do 5.0.4 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnione privilege escalation. Atakujący bez żadnych uprawnień może podnieść swoje uprawnienia w systemie, co stanowi poważne zagrożenie dla instalacji WordPress korzystających z tego pluginu.

pub. 2026-06-26
9.8
CVSS
CRITICAL
CVE-2026-34901

Plugin iControlWP w wersji 5.5.3 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnioną eskalację uprawnień (privilege escalation). Zagrożenie jest wyjątkowo poważne, ponieważ atakujący nie potrzebuje żadnych poświadczeń ani interakcji użytkownika, aby je wykorzystać.

pub. 2026-06-15
9.8
CVSS
CRITICAL
CVE-2026-39583

Podatność umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień w pluginie WordPress Datalogics Ecommerce Delivery w wersjach do 2.6.62 włącznie. Krytyczny poziom zagrożenia wynika z braku wymogu jakiejkolwiek autoryzacji do przeprowadzenia ataku.

pub. 2026-06-15
9.8
CVSS
CRITICAL
CVE-2026-49060

Podatność nieprawidłowego przypisania uprawnień (Incorrect Privilege Assignment) w pluginie WordPress Hippoo Mobile App for WooCommerce umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień w systemie. Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie, ponieważ exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2026-06-11
Pokazano 20 z 963 podatności
Informacje
ID: CWE-266
Typ: Base
Podatności: 963
MITRE CWE ↗
← Słownik CWE
CWE-266 — Nieprawidłowe przydzielenie uprawnień | Słownik CWE | CVEbaza.pl