CVEbaza.plSłownik CWECWE-276
Common Weakness Enumeration

CWE-276

Incorrect Default Permissions

Kategoria: BaseCVE: 1786
Opis

Podczas instalacji uprawnienia zainstalowanych plików są ustawiane w taki sposób, że każdy może je modyfikować. To pozwala nieautoryzowanym użytkownikom na zmianę lub uszkodzenie ważnych plików systemu.

Description (EN)

During installation, installed file permissions are set to allow anyone to modify those files.

Podatności CVE z CWE-276 (1786)
10.0
CVSS
CRITICAL
CVE-2022-42150

TinyLab linux-lab v1.1-rc1 and cloud-labv0.8-rc2, v1.1-rc1 are vulnerable to insecure permissions. The default configuration could cause Container Escape.

pub. 2023-10-19
10.0
CVSS
CRITICAL
CVE-2020-29491

Dell Wyse ThinOS 8.6 and prior versions contain an insecure default configuration vulnerability. A remote unauthenticated attacker could potentially exploit this vulnerability to gain access to the sensitive information on the local network, leading to the potential compromise of impacted thin clients.

pub. 2021-01-04
10.0
CVSS
CRITICAL
CVE-2020-29492

Dell Wyse ThinOS 8.6 and prior versions contain an insecure default configuration vulnerability. A remote unauthenticated attacker could potentially exploit this vulnerability to access the writable file and manipulate the configuration of any target specific station.

pub. 2021-01-04
9.9
CVSS
CRITICAL
CVE-2023-22651

Improper Privilege Management vulnerability in SUSE Rancher allows Privilege Escalation. A failure in the update logic of Rancher's admission Webhook may lead to the misconfiguration of the Webhook. This component enforces validation rules and security checks before resources are admitted into the Kubernetes cluster. The issue only affects users that upgrade from 2.6.x or 2.7.x to 2.7.2. Users that did a fresh install of 2.7.2 (and did not follow an upgrade path) are not affected.

pub. 2023-05-04
9.9
CVSS
CRITICAL
CVE-2019-19896

In IXP EasyInstall 6.2.13723, there is Remote Code Execution via weak permissions on the Engine Service share. The default file permissions of the IXP$ share on the server allows modification of directories and files (e.g., bat-scripts), which allows execution of code in the context of NT AUTHORITY\SYSTEM on the target server and clients.

pub. 2020-01-23
9.8
CVSS
CRITICAL
CVE-2025-60262

Urządzenia H3C M102G oraz BA1500L posiadają błędną konfigurację serwera vsftpd, która umożliwia anonimowym użytkownikom FTP wgrywanie plików automatycznie przypisywanych do konta root. Podatność pozwala zdalnym atakującym bez uwierzytelnienia na uzyskanie pełnej kontroli nad urządzeniem.

pub. 2026-01-06
9.8
CVSS
CRITICAL
CVE-2024-43166

Apache DolphinScheduler w wersjach przed 3.2.2 zawiera podatność klasy CWE-276 (Incorrect Default Permissions), polegającą na niewłaściwej konfiguracji domyślnych uprawnień. Podatność uzyskała ocenę CVSS 9.8 (Critical), co oznacza możliwość pełnego naruszenia poufności, integralności i dostępności systemu przez nieuwierzytelnionego atakującego zdalnie.

pub. 2025-09-03
9.8
CVSS
CRITICAL
CVE-2025-8031

Podatność w Mozilla Firefox i Thunderbird powoduje, że dane uwierzytelniające HTTP Basic Authentication (nazwa użytkownika i hasło) zawarte w URL mogą być nieumyślnie ujawniane poprzez raporty Content Security Policy (CSP). Błąd klasyfikowany jest jako krytyczny ze względu na potencjalny wyciek wrażliwych danych logowania.

pub. 2025-07-22
9.8
CVSS
CRITICAL
CVE-2014-7210

Pakiet pdns w Debian w wersjach przed 3.3.1-1 tworzy użytkownika MySQL z nadmiernie szerokimi uprawnieniami do bazy danych. Błąd w skryptach maintainera backendu MySQL może pozwolić atakującemu na nieuprawniony dostęp lub modyfikację danych DNS.

pub. 2025-06-26
9.8
CVSS
CRITICAL
CVE-2025-6179

Podatność w Google ChromeOS 16181.27.0 umożliwia lokalnemu atakującemu ominięcie mechanizmów zarządzania rozszerzeniami na zarządzanych urządzeniach Chrome. Jest to groźne, ponieważ atakujący może wyłączyć wymuszone rozszerzenia, uzyskać dostęp do trybu deweloperskiego i załadować niezatwierdzone rozszerzenia.

pub. 2025-06-16
9.8
CVSS
CRITICAL
CVE-2025-24172

Podatność w Apple macOS powoduje, że opcja "Block All Remote Content" może nie być skutecznie egzekwowana dla wszystkich podglądów wiadomości e-mail. Pomimo krytycznej oceny CVSS 9.8, błąd dotyczy mechanizmu uprawnień sandbox i może prowadzić do niezamierzonego ładowania zdalnej zawartości.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24195

Podatność typu integer overflow w systemach macOS pozwala lokalnemu użytkownikowi na nieuprawnione podniesienie uprawnień. Wysoki wynik CVSS 9.8 wskazuje na krytyczny potencjał exploitacji.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24207

Podatność w systemach macOS polega na nieprawidłowym zarządzaniu uprawnieniami, co pozwala aplikacji na włączenie funkcji przechowywania danych w iCloud bez wiedzy i zgody użytkownika. Pomimo oceny CVSS 9.8, realne zagrożenie dotyczy przede wszystkim naruszenia prywatności i integralności danych.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24238

Błąd logiczny w systemach operacyjnych Apple umożliwia aplikacji uzyskanie podwyższonych uprawnień bez interakcji użytkownika. Podatność otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-30465

Podatność w aplikacji Shortcuts na iPadOS i macOS umożliwia skrótom dostęp do plików, które normalnie są przed nią chronione. Wysoki wynik CVSS (9.8) wskazuje na poważne ryzyko naruszenia poufności, integralności i dostępności danych.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-25535

Podatność w SCRIPT CASE v.1.0.002 Build7 pozwala zdalnemu atakującemu na eskalację uprawnień poprzez manipulację odpowiedziami HTTP. Krytyczny poziom CVSS 9.8 oznacza, że exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2025-03-26
9.8
CVSS
CRITICAL
CVE-2024-53351

Podatność w PipeCD v0.49 wynikająca z nieprawidłowych uprawnień (insecure permissions) umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu do tokenu konta serwisowego. Prowadzi to do eskalacji uprawnień (privilege escalation) w środowisku, co czyni tę lukę krytyczną.

pub. 2025-03-21
9.8
CVSS
CRITICAL
CVE-2025-27677

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuprzywilejowanym użytkownikom interakcję z plikami systemowymi za pomocą symbolicznych dowiązań (symbolic links). Błąd posiada ocenę CVSS 9.8 i może prowadzić do przejęcia pełnej kontroli nad systemem.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2025-27682

Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 1.0.735 / Application 20.0.1330 posiada nieprawidłowo skonfigurowane uprawnienia do plików dziennika (log). Podatność sklasyfikowana jako krytyczna (CVSS 9.8) może umożliwić nieuprawnionemu atakującemu dostęp do wrażliwych danych lub modyfikację systemu bez uwierzytelnienia.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2024-56525

Podatność typu XXE (XML External Entity) w platformach PKP OJS, OMP i OPS pozwala użytkownikowi z rolą Journal Editor na uzyskanie uprawnień super administratora oraz instalację złośliwego pluginu (backdoor). Zagrożenie jest krytyczne, ponieważ nie wymaga wysokich uprawnień wyjściowych, a skutki obejmują pełne przejęcie kontroli nad instalacją.

pub. 2025-02-24
Pokazano 20 z 1786 podatności
Informacje
ID: CWE-276
Typ: Base
Podatności: 1786
MITRE CWE ↗
← Słownik CWE
CWE-276 — Nieprawidłowe Domyślne Uprawnienia | Słownik CWE | CVEbaza.pl