CVEbaza.plSłownik CWECWE-346
Common Weakness Enumeration

CWE-346

Origin Validation Error

Kategoria: ClassCVE: 662
Opis

Produkt nie weryfikuje prawidłowo, czy źródło danych lub komunikacji jest ważne. Brak poprawnej walidacji źródła może prowadzić do przyjęcia złośliwych lub nieautoryzowanych danych.

Description (EN)

The product does not properly verify that the source of data or communication is valid.

Podatności CVE z CWE-346 (662)
10.0
CVSS
CRITICAL
CVE-2026-42901

Podatność w Microsoft Entra ID pozwala nieuwierzytelnionemu atakującemu na podniesienie uprawnień przez sieć. Krytyczny poziom zagrożenia (CVSS 10.0) wynika z braku wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełnego wpływu na poufność, integralność i dostępność.

pub. 2026-05-22
10.0
CVSS
CRITICAL
CVE-2025-9265

Podatność w urządzeniu Kiloview NDI N30 pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wyłączenie weryfikacji użytkownika i uzyskanie dostępu do funkcji administracyjnych. Ze względu na brak wymagań wstępnych (brak uwierzytelnienia, brak interakcji użytkownika) oraz maksymalny wynik CVSS 10.0, jest to zagrożenie krytyczne.

pub. 2025-10-13
10.0
CVSS
CRITICAL
CVE-2021-37705

OneFuzz is an open source self-hosted Fuzzing-As-A-Service platform. Starting with OneFuzz 2.12.0 or greater, an incomplete authorization check allows an authenticated user from any Azure Active Directory tenant to make authorized API calls to a vulnerable OneFuzz instance. To be vulnerable, a OneFuzz deployment must be both version 2.12.0 or greater and deployed with the non-default --multi_tenant_domain option. This can result in read/write access to private data such as software vulnerability and crash information, security testing tools and proprietary code and symbols. Via authorized API calls, this also enables tampering with existing data and unauthorized code execution on Azure compute resources. This issue is resolved starting in release 2.31.0, via the addition of application-level check of the bearer token's `issuer` against an administrator-configured allowlist. As a workaround users can restrict access to the tenant of a deployed OneFuzz instance < 2.31.0 by redeploying in the default configuration, which omits the `--multi_tenant_domain` option.

pub. 2021-08-13
9.9
CVSS
CRITICAL
CVE-2024-32764

W aplikacji myQNAPcloud Link firmy QNAP wykryto podatność polegającą na braku uwierzytelnienia dla krytycznych funkcji (CWE-306). Błąd umożliwia nieuwierzytelnionemu atakującemu dostęp przez sieć do funkcji, które powinny być chronione, co stanowi poważne zagrożenie dla integralności i poufności danych.

pub. 2024-04-26
9.8
CVSS
CRITICAL
CVE-2026-44649

SillyTavern przed wersją 1.18.0 akceptuje nagłówki HTTP Remote-User (Authelia) i X-Authentik-Username (Authentik) bez weryfikacji, czy pochodzą z zaufanego reverse proxy. Pozwala to dowolnemu klientowi sieciowemu na zalogowanie się jako dowolny użytkownik, w tym administrator, bez znajomości hasła.

pub. 2026-05-29
9.8
CVSS
CRITICAL
CVE-2026-6508

Krytyczna podatność typu Origin Validation Error w systemie Liderahenk pozwala nieuwierzytelnionemu atakującemu na dostęp do funkcji chronionych mechanizmami ACL. Wynik CVSS 9.8 wskazuje na możliwość pełnego naruszenia poufności, integralności i dostępności systemu.

pub. 2026-05-07
9.8
CVSS
CRITICAL
CVE-2026-2790

Podatność w komponencie Networking: JAR produktów Mozilla Firefox i Thunderbird pozwala na obejście mechanizmu Same-Origin Policy (SOP). Jest to krytyczna luka umożliwiająca nieautoryzowany dostęp do zasobów między różnymi źródłami, co stanowi poważne zagrożenie dla bezpieczeństwa danych użytkowników.

pub. 2026-02-24
9.8
CVSS
CRITICAL
CVE-2025-69258

Podatność w Trend Micro Apex Central pozwala nieuwierzytelnionemu atakującemu zdalnie załadować kontrolowaną przez siebie bibliotekę DLL do kluczowego procesu systemowego. Skutkuje to wykonaniem dowolnego kodu z uprawnieniami SYSTEM, co oznacza pełne przejęcie kontroli nad zaatakowanym systemem.

pub. 2026-01-08
9.8
CVSS
CRITICAL
CVE-2025-30466

Podatność w mechanizmie zarządzania stanem umożliwia złośliwej witrynie internetowej obejście polityki Same Origin Policy (SOP). Jest to groźne, ponieważ SOP stanowi fundamentalną barierę izolującą treści z różnych domen w przeglądarce.

pub. 2025-05-29
9.8
CVSS
CRITICAL
CVE-2024-8487

W bibliotece Modelscope AgentScope w wersji v0.0.4 wykryto podatność klasy CORS (Cross-Origin Resource Sharing), polegającą na braku właściwej weryfikacji zaufanych źródeł żądań. Umożliwia to dowolnej zewnętrznej domenie wysyłanie żądań do API serwera AgentScope bez ograniczeń.

pub. 2025-03-20
9.8
CVSS
CRITICAL
CVE-2024-9392

Podatność w Mozilla Firefox i Thunderbird pozwala skompromitowanemu procesowi treści (content process) na arbitralne ładowanie stron z innych źródeł (cross-origin). Ze względu na krytyczny poziom CVSS 9.8 i brak wymagań dotyczących uwierzytelnienia, stanowi poważne zagrożenie dla poufności, integralności i dostępności danych.

pub. 2024-10-01
9.8
CVSS
CRITICAL
CVE-2021-47157

Moduł Kossy przed wersją 0.60 dla języka Perl jest podatny na atak JSON hijacking wynikający z nieprawidłowej obsługi nagłówka X-Requested-With. Podatność otrzymała ocenę krytyczną CVSS 9.8, co oznacza wysokie ryzyko naruszenia poufności, integralności i dostępności danych.

pub. 2024-03-18
9.8
CVSS
CRITICAL
CVE-2023-29711

An incorrect access control issue was discovered in Interlink PSG-5124 version 1.0.4, allows attackers to execute arbitrary code via crafted GET request.

pub. 2023-06-22
9.8
CVSS
CRITICAL
CVE-2023-25366

In Siglent SDS 1104X-E SDS1xx4X-E_V6.1.37R9.ADS, insecure SCPI interface discloses web password.

pub. 2023-06-16
9.8
CVSS
CRITICAL
CVE-2023-33443

Incorrect access control in the administrative functionalities of BES--6024PB-I50H1 VideoPlayTool v2.0.1.0 allow attackers to execute arbitrary administrative commands via a crafted payload sent to the desired endpoints.

pub. 2023-06-08
9.8
CVSS
CRITICAL
CVE-2023-29728

The Call Blocker application 6.6.3 for Android allows attackers to tamper with feature-related data, resulting in a severe elevation of privilege attack.

pub. 2023-05-30
9.8
CVSS
CRITICAL
CVE-2017-20146

Usage of the CORS handler may apply improper CORS headers, allowing the requester to explicitly control the value of the Access-Control-Allow-Origin header, which bypasses the expected behavior of the Same Origin Policy.

pub. 2022-12-27
9.8
CVSS
CRITICAL
CVE-2022-3457

Origin Validation Error in GitHub repository ikus060/rdiffweb prior to 2.5.0a5.

pub. 2022-10-13
9.8
CVSS
CRITICAL
CVE-2020-26527

An issue was discovered in API/api/Version in Damstra Smart Asset 2020.7. Cross-origin resource sharing trusts random origins by accepting the arbitrary 'Origin: example.com' header and responding with 200 OK and a wildcard 'Access-Control-Allow-Origin: *' header.

pub. 2020-10-02
9.8
CVSS
CRITICAL
CVE-2019-4640

IBM Security Secret Server 10.7 processes patches, image backups and other updates without sufficiently verifying the origin and integrity of the code which could result in an attacker executing malicious code. IBM X-Force ID: 170046.

pub. 2020-02-19
Pokazano 20 z 662 podatności
Informacje
ID: CWE-346
Typ: Class
Podatności: 662
MITRE CWE ↗
← Słownik CWE
CWE-346 — Błąd Walidacji Źródła | Słownik CWE | CVEbaza.pl