CVEbaza.plSłownik CWECWE-281
Common Weakness Enumeration

CWE-281

Improper Preservation of Permissions

Kategoria: BaseCVE: 401
Opis

Produkt nie zachowuje uprawnień lub nieprawidłowo je zachowuje podczas kopiowania, przywracania lub udostępniania obiektów, co może spowodować, że będą one miały mniej restrykcyjne uprawnienia niż zamierzono. Może to prowadzić do nieautoryzowanego dostępu do danych lub zasobów.

Description (EN)

The product does not preserve permissions or incorrectly preserves permissions when copying, restoring, or sharing objects, which can cause them to have less restrictive permissions than intended.

Podatności CVE z CWE-281 (401)
10.0
CVSS
CRITICAL
CVE-2024-36532

Podatność w kruise v1.6.2 wynikająca z nieprawidłowo skonfigurowanych uprawnień (CWE-281) umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu do wrażliwych danych. Krytyczny wynik CVSS 10.0 wskazuje na możliwość pełnego przejęcia środowiska.

pub. 2024-06-21
9.8
CVSS
CRITICAL
CVE-2024-56973

Podatność klasy Insecure Permissions w komponencie ProcessUploadFromURL.jsp produktu Alvaria Unified IP Unified Director umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny wynik CVSS 9.8 wskazuje na wysokie ryzyko dla organizacji korzystających z podatnych wersji.

pub. 2025-02-14
9.8
CVSS
CRITICAL
CVE-2024-46622

W oprogramowaniu SecureAge Security Suite wykryto krytyczną podatność umożliwiającą eskalację uprawnień (privilege escalation). Błąd pozwala nieuwierzytelnionemu atakującemu na dowolne tworzenie, modyfikację i usuwanie plików w systemie.

pub. 2025-01-06
9.8
CVSS
CRITICAL
CVE-2024-55507

Podatność w komponencie delete_e.php systemu Codeastro Complaint Management System v.1.0 umożliwia zdalnemu atakującemu eskalację uprawnień bez uwierzytelnienia. Krytyczny poziom zagrożenia wynika z pełnej dostępności exploitu przez sieć bez jakichkolwiek warunków wstępnych.

pub. 2025-01-03
9.8
CVSS
CRITICAL
CVE-2024-54465

Podatność w systemie macOS Sequoia wynika z błędu logicznego w zarządzaniu stanem, który umożliwia aplikacji nieuprawnione podwyższenie uprawnień. Krytyczny wynik CVSS 9.8 wskazuje na poważne ryzyko dla bezpieczeństwa systemu.

pub. 2024-12-12
9.8
CVSS
CRITICAL
CVE-2024-41644

Podatność nieprawidłowych uprawnień (Insecure Permissions) w pakiecie navigation2 platformy Robot Operating System 2 (ROS2) w wersji humble umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Krytyczny poziom CVSS 9.8 oznacza, że atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-41645

Podatność klasy Insecure Permissions w komponencie nav2_amcl pakietu ROS2 navigation2 (wersja humble) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu. Krytyczny poziom zagrożenia wynika z braku wymagań co do uwierzytelnienia i interakcji użytkownika.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-41646

Podatność klasy Insecure Permissions w komponencie nav2_dwb_controller systemu ROS2 navigation2 (wersja humble) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Krytyczny poziom CVSS 9.8 oraz brak wymagań co do uwierzytelnienia czynią tę podatność poważnym zagrożeniem dla systemów robotycznych.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-41648

Podatność klasy Insecure Permissions w komponencie nav2_regulated_pure_pursuit_controller systemu ROS2 navigation2 (wersja humble) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie dla systemów robotycznych opartych na tej platformie.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-41649

Podatność klasy Insecure Permissions w pakiecie navigation2 systemu Robot Operating System 2 (ROS2) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Krytyczny poziom CVSS 9.8 sprawia, że zagrożone są wszystkie systemy robotyczne oparte na tej platformie.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-41650

Podatność klasy Insecure Permissions w komponencie nav2_costmap_2d systemu ROS2 navigation2 (wersja humble) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Ze względu na brak wymagań uwierzytelnienia i niską złożoność ataku, podatność jest oceniana jako krytyczna (CVSS 9.8).

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2023-47463

Podatność na nieprawidłowe uprawnienia w firmware GL.iNet AX1800 (wersje 4.0.0 do 4.5.0) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na urządzeniu. Wysoki wynik CVSS (9.8) oraz brak wymagań wstępnych po stronie atakującego czynią tę lukę wyjątkowo niebezpieczną.

pub. 2023-11-30
9.8
CVSS
CRITICAL
CVE-2020-36070

Insecure Permission vulnerability found in Yoyager v.1.4 and before allows a remote attacker to execute arbitrary code via a crafted .php file to the media component.

pub. 2023-04-26
9.8
CVSS
CRITICAL
CVE-2021-33990

Liferay Portal 6.2.5 allows Command=FileUpload&Type=File&CurrentFolder=/ requests when frmfolders.html exists. NOTE: The vendor disputes this issue because the exploit reference link only shows frmfolders.html is accessible and does not demonstrate how an unauthorized user can upload a file.

pub. 2023-04-16
9.8
CVSS
CRITICAL
CVE-2023-28668

Jenkins Role-based Authorization Strategy Plugin 587.v2872c41fa_e51 and earlier grants permissions even after they've been disabled.

pub. 2023-04-02
9.8
CVSS
CRITICAL
CVE-2021-29971

If a user had granted a permission to a webpage and saved that grant, any webpage running on the same host - irrespective of scheme or port - would be granted that permission. *This bug only affects Firefox for Android. Other operating systems are unaffected.*. This vulnerability affects Firefox < 90.

pub. 2021-08-05
9.8
CVSS
CRITICAL
CVE-2020-18890

Rmote Code Execution (RCE) vulnerability in puppyCMS v5.1 due to insecure permissions, which could let a remote malicious user getshell via /admin/functions.php.

pub. 2021-05-06
9.8
CVSS
CRITICAL
CVE-2018-4115

An issue was discovered in certain Apple products. iOS before 11.3 is affected. macOS before 10.13.4 is affected. tvOS before 11.3 is affected. watchOS before 4.3 is affected. The issue involves CFPreferences in the "System Preferences" component. It allows attackers to bypass intended access restrictions by leveraging incorrect configuration-profile persistence.

pub. 2018-04-03
9.8
CVSS
CRITICAL
CVE-2017-8589

Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows a remote code execution vulnerability due to the way that Windows Search handles objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

pub. 2017-07-11
9.8
CVSS
CRITICAL
CVE-2017-8543

Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow an attacker to take control of the affected system when Windows Search fails to handle objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

pub. 2017-06-15🚩 CISA KEV⚡ EXPLOIT
Pokazano 20 z 401 podatności
Informacje
ID: CWE-281
Typ: Base
Podatności: 401
MITRE CWE ↗
← Słownik CWE
CWE-281 — Nieprawidłowe Zachowanie Uprawnień | Słownik CWE | CVEbaza.pl