CVEbaza.plSłownik CWECWE-362
Common Weakness Enumeration

CWE-362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

Kategoria: ClassCVE: 2737
Opis

Produkt zawiera sekwencję kodu współbieżnego, która wymaga tymczasowego, wyłącznego dostępu do zasobu wspólnego, jednak istnieje przedział czasowy, w którym zasób wspólny może być modyfikowany przez inną sekwencję kodu działającą równocześnie. Ta luka bezpieczeństwa pozwala na naruszenie integralności danych i nieprzewidywalne zachowanie aplikacji.

Description (EN)

The product contains a concurrent code sequence that requires temporary, exclusive access to a shared resource, but a timing window exists in which the shared resource can be modified by another code sequence operating concurrently.

Podatności CVE z CWE-362 (2737)
10.0
CVSS
CRITICAL
CVE-2026-0068

In createSessionInternal of PackageInstallerService.java, there is a possible method to remove a DPC app from a managed device without DO consent due to desync from persistence. This could lead to local escalation of privilege if a user can install a malicious app with no additional execution privileges needed. User interaction is needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-0083

In Nfc::eventCallback() of Nfc.h, there is a possible use after free due to a race condition. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2022-27626

A vulnerability regarding concurrent execution using shared resource with improper synchronization ('Race Condition') is found in the session processing functionality of Out-of-Band (OOB) Management. This allows remote attackers to execute arbitrary commands via unspecified vectors. The following models with Synology DiskStation Manager (DSM) versions before 7.1.1-42962-2 may be affected: DS3622xs+, FS3410, and HD6500.

pub. 2022-10-20
10.0
CVSS
CRITICAL
CVE-2015-8556

Local privilege escalation vulnerability in the Gentoo QEMU package before 2.5.0-r1.

pub. 2017-03-24
10.0
CVSS
HIGH
CVE-2014-0703

Cisco Wireless LAN Controller (WLC) devices 7.4 before 7.4.110.0 distribute Aironet IOS software with a race condition in the status of the administrative HTTP server, which allows remote attackers to bypass intended access restrictions by connecting to an Aironet access point on which this server had been disabled ineffectively, aka Bug ID CSCuf66202.

pub. 2014-03-06
10.0
CVSS
HIGH
CVE-2010-1228

Multiple race conditions in the sandbox infrastructure in Google Chrome before 4.1.249.1036 have unspecified impact and attack vectors.

pub. 2010-04-01
10.0
CVSS
HIGH
CVE-2008-6598

Multiple race conditions in WANPIPE before 3.3.6 have unknown impact and attack vectors related to "bri restart logic."

pub. 2009-04-03
10.0
CVSS
HIGH
CVE-2002-2374

Unspecified vulnerability in pprosetup in Sun PatchPro 2.0 has unknown impact and attack vectors related to "unsafe use of temporary files."

pub. 2002-12-31
9.9
CVSS
CRITICAL
CVE-2024-27102

Podatność w Pterodactyl Wings (server control plane) umożliwia atakującemu odczyt plików i katalogów spoza wyznaczonego katalogu bazowego (sandbox root) serwera. Ze względu na wysoki wynik CVSS 9.9 i zasięg wykraczający poza granice izolacji, podatność stanowi poważne zagrożenie dla bezpieczeństwa systemu hosta.

pub. 2024-03-13
9.8
CVSS
CRITICAL
CVE-2026-46135

W jądrze Linux odkryto podatność typu race condition w module nvmet-tcp, dotyczącą obsługi żądania ICReq i jednoczesnego niszczenia kolejki połączeń NVMe/TCP. Błąd może prowadzić do podwójnego zwolnienia referencji do kolejki (double kref_put), co stanowi poważne zagrożenie dla stabilności i bezpieczeństwa systemu.

pub. 2026-05-28
9.8
CVSS
CRITICAL
CVE-2026-46137

Podatność w podsystemie MPTCP jądra Linux powoduje potencjalny data-race w funkcji mptcp_pm_add_timer(), wykonywanej jako callback timera w kontekście softirq. Brak właściwego blokowania gniazda może prowadzić do poważnych naruszeń integralności systemu.

pub. 2026-05-28
9.8
CVSS
CRITICAL
CVE-2026-43198

W jądrze Linux wykryto podatność typu race condition w funkcji tcp_v6_syn_recv_sock(), która może prowadzić do nieoczekiwanego zachowania systemu podczas obsługi połączeń TCP/IPv6. Błąd jest oceniony jako krytyczny (CVSS 9.8) ze względu na potencjalny wpływ na poufność, integralność i dostępność systemu.

pub. 2026-05-06
9.8
CVSS
CRITICAL
CVE-2026-5902

Podatność typu race condition w komponencie Media przeglądarki Google Chrome na Android umożliwia zdalnemu atakującemu, który wcześniej przejął kontrolę nad procesem renderera, uszkodzenie metadanych strumienia media. Mimo niskiej oceny przez zespół Chromium, ogólny wynik CVSS wynosi 9.8, co czyni ją poważnym zagrożeniem.

pub. 2026-04-08
9.8
CVSS
CRITICAL
CVE-2026-23240

Podatność race condition w podsystemie TLS jądra Linux (funkcja tls_sw_cancel_work_tx()) umożliwia odwołanie do już zwolnionego obiektu TLS przez wątek roboczy tx_work_handler(). Błąd ma ocenę CVSS 9.8 i może prowadzić do poważnego naruszenia integralności oraz dostępności systemu.

pub. 2026-03-10
9.8
CVSS
CRITICAL
CVE-2025-43244

Podatność typu race condition w systemie macOS może zostać wykorzystana przez złośliwą aplikację do wywołania nieoczekiwanego zakończenia pracy systemu. Pomimo oceny CVSS 9.8 (CRITICAL), znany skutek wskazuje na destabilizację systemu, co stanowi poważne zagrożenie dla dostępności.

pub. 2025-07-30
9.8
CVSS
CRITICAL
CVE-2025-43275

Podatność klasy race condition w systemie macOS pozwala aplikacji na przełamanie mechanizmu izolacji (sandbox). Luka otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną — nie wymaga interakcji użytkownika ani uprawnień.

pub. 2025-07-30
9.8
CVSS
CRITICAL
CVE-2025-30444

Podatność typu race condition w systemie macOS pozwala na doprowadzenie do nieoczekiwanego zakończenia pracy systemu poprzez podłączenie złośliwie spreparowanego udziału sieciowego SMB. Pomimo sklasyfikowania jako CRITICAL, problem dotyczy dostępności systemu.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2024-48069

W systemie Weaver E-Cology wykryto krytyczną podatność typu race condition, która pozwala nieuwierzytelnionemu atakującemu ominąć mechanizmy bezpieczeństwa i przesłać złośliwe pliki na serwer. Skuteczne wykorzystanie podatności prowadzi do przejęcia pełnej kontroli nad serwerem.

pub. 2024-11-19
9.8
CVSS
CRITICAL
CVE-2023-32254

A flaw was found in the Linux kernel's ksmbd, a high-performance in-kernel SMB server. The specific flaw exists within the processing of SMB2_TREE_DISCONNECT commands. The issue results from the lack of proper locking when performing operations on an object. An attacker can leverage this vulnerability to execute code in the context of the kernel.

pub. 2023-07-10
9.8
CVSS
CRITICAL
CVE-2023-28201

This issue was addressed with improved state management. This issue is fixed in macOS Ventura 13.3, Safari 16.4, iOS 16.4 and iPadOS 16.4, iOS 15.7.4 and iPadOS 15.7.4, tvOS 16.4. A remote user may be able to cause unexpected app termination or arbitrary code execution.

pub. 2023-05-08
Pokazano 20 z 2737 podatności
Informacje
ID: CWE-362
Typ: Class
Podatności: 2737
MITRE CWE ↗
← Słownik CWE
CWE-362 — Współbieżne wykonanie z użyciem zasobu wspólnego z nieprawidłową synchronizacją (Race Condition) | Słownik CWE | CVEbaza.pl