CVEbaza.plSłownik CWECWE-403
Common Weakness Enumeration

CWE-403

Exposure of File Descriptor to Unintended Control Sphere ('File Descriptor Leak')

Kategoria: BaseCVE: 6
Opis

Proces nie zamyka wrażliwych deskryptorów plików przed wywołaniem procesu potomnego, co pozwala procesowi potomnemu na wykonanie nieautoryzowanych operacji wejścia-wyjścia przy użyciu tych deskryptorów. Stanowi to zagrożenie bezpieczeństwa poprzez niezamierzone udostępnienie dostępu do zasobów.

Description (EN)

A process does not close sensitive file descriptors before invoking a child process, which allows the child to perform unauthorized I/O operations using those descriptors.

Podatności CVE z CWE-403 (6)
9.6
CVSS
CRITICAL
CVE-2026-12296

Sandbox escape in the Security: Process Sandboxing component. This vulnerability was fixed in Firefox 152, Firefox ESR 140.12, Thunderbird 152, and Thunderbird 140.12.

pub. 2026-06-16
9.3
CVSS
CRITICAL
CVE-2026-40042

Pachno 1.0.6 zawiera podatność XML External Entity Injection (XXE) w komponencie TextParser, która pozwala nieuwierzytelnionemu atakującemu na odczyt dowolnych plików z serwera. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-04-13
9.3
CVSS
CRITICAL
CVE-2025-15114

Oprogramowanie Ksenia Security Lares (model legacy) w wersji 1.6 ujawnia kod PIN systemu alarmowego w pliku XML dostępnym po uwierzytelnieniu. Podatność umożliwia atakującemu odczytanie kodu PIN i wyłączenie alarmu bez dodatkowego uwierzytelnienia.

pub. 2025-12-30
8.6
CVSS
HIGH
CVE-2024-58280

CMSimple 5.15 contains a remote command execution vulnerability that allows authenticated attackers to modify file extensions and upload malicious PHP files. Attackers can append ',php' to Extensions_userfiles and upload a shell script to the media directory to execute arbitrary code on the server.

pub. 2025-12-10
8.6
CVSS
HIGH
CVE-2024-21626

runc is a CLI tool for spawning and running containers on Linux according to the OCI specification. In runc 1.1.11 and earlier, due to an internal file descriptor leak, an attacker could cause a newly-spawned container process (from runc exec) to have a working directory in the host filesystem namespace, allowing for a container escape by giving access to the host filesystem ("attack 2"). The same attack could be used by a malicious image to allow a container process to gain access to the host filesystem through runc run ("attack 1"). Variants of attacks 1 and 2 could be also be used to overwrite semi-arbitrary host binaries, allowing for complete container escapes ("attack 3a" and "attack 3b"). runc 1.1.12 includes patches for this issue.

pub. 2024-01-31
7.4
CVSS
HIGH
CVE-2025-3032

Leaking of file descriptors from the fork server to web content processes could allow for privilege escalation attacks. This vulnerability was fixed in Firefox 137 and Thunderbird 137.

pub. 2025-04-01
Informacje
ID: CWE-403
Typ: Base
Podatności: 6
MITRE CWE ↗
← Słownik CWE
CWE-403 — Ujawnienie Deskryptora Pliku Niezamierzonej Sferze Kontroli ('Wyciek Deskryptora Pliku') | Słownik CWE | CVEbaza.pl