CVEbaza.plSłownik CWECWE-489
Common Weakness Enumeration

CWE-489

Active Debug Code

Kategoria: BaseCVE: 80
Opis

Produkt jest wydawany z włączonym lub aktywnym kodem debugowania. Może to prowadzić do ujawnienia wrażliwych informacji i ułatwić potencjalnym atakującym analizę i kompromitację aplikacji.

Description (EN)

The product is released with debugging code still enabled or active.

Podatności CVE z CWE-489 (80)
10.0
CVSS
CRITICAL
CVE-2023-4804

An unauthorized user could access debug features in Quantum HD Unity products that were accidentally exposed.

pub. 2023-11-10
9.8
CVSS
CRITICAL
CVE-2024-9643

Router Four-Faith F3x36 z oprogramowaniem v2.0.0 zawiera zakodowane na stałe dane uwierzytelniające w administracyjnym serwerze WWW, co umożliwia nieautoryzowanym osobom przejęcie pełnej kontroli administracyjnej. Podatność jest krytyczna, ponieważ nie wymaga żadnej interakcji użytkownika ani wcześniejszych uprawnień i jest dostępna zdalnie przez sieć.

pub. 2025-02-04
9.8
CVSS
CRITICAL
CVE-2024-9644

Router Four-Faith F3x36 z firmware v2.0.0 zawiera podatność umożliwiającą ominięcie uwierzytelnienia w administracyjnym panelu webowym. Zdalny, nieuwierzytelniony atakujący może modyfikować konfigurację urządzenia bez podawania jakichkolwiek danych dostępowych.

pub. 2025-02-04
9.8
CVSS
CRITICAL
CVE-2024-46873

Wiele modeli routerów SHARP posiada niezabezpieczoną, ukrytą funkcję diagnostyczną (debug), która pozostaje aktywna w oprogramowaniu produkcyjnym. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę lukę do wykonania dowolnych poleceń systemowych z uprawnieniami administratora (root).

pub. 2024-12-23
9.8
CVSS
CRITICAL
CVE-2024-21785

W kontrolerach AutomationDirect P3-550E odkryto podatność typu 'leftover debug code' w funkcjonalności diagnostycznej Telnet. Błąd umożliwia nieautoryzowany dostęp do urządzenia przez sieć bez żadnego uwierzytelnienia, co czyni go szczególnie niebezpiecznym w środowiskach przemysłowych.

pub. 2024-05-28
9.8
CVSS
CRITICAL
CVE-2024-32047

W kodzie produkcyjnym aplikacji CyberPower PowerPanel wykryto zakodowane na stałe (hard-coded) dane uwierzytelniające przeznaczone dla serwera testowego. Podatność może umożliwić nieuwierzytelnionemu atakującemu zdalny dostęp do serwera testowego lub produkcyjnego.

pub. 2024-05-15
9.8
CVSS
CRITICAL
CVE-2024-28008

Podatność klasy Active Debug Code (CWE-489) w oprogramowaniu układowym routerów NEC Aterm umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemu operacyjnego przez internet. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań co do uwierzytelnienia, interakcji użytkownika czy szczególnych uprawnień.

pub. 2024-03-28
9.8
CVSS
CRITICAL
CVE-2023-32645

A leftover debug code vulnerability exists in the httpd debug credentials functionality of Yifan YF325 v1.0_20221108. A specially crafted network request can lead to authentication bypass. An attacker can send a network request to trigger this vulnerability.

pub. 2023-10-11
9.8
CVSS
CRITICAL
CVE-2023-34346

A stack-based buffer overflow vulnerability exists in the httpd gwcfg.cgi get functionality of Yifan YF325 v1.0_20221108. A specially crafted network packet can lead to command execution. An attacker can send a network request to trigger this vulnerability.

pub. 2023-10-11
9.8
CVSS
CRITICAL
CVE-2022-45677

SQL Injection Vulnerability in tanujpatra228 Tution Management System (TMS) via the email parameter to processes/student_login.process.php.

pub. 2023-02-21
9.8
CVSS
CRITICAL
CVE-2023-22357

Active debug code exists in OMRON CP1L-EL20DR-D all versions, which may lead to a command that is not specified in FINS protocol being executed without authentication. A remote unauthenticated attacker may read/write in arbitrary area of the device memory, which may lead to overwriting the firmware, causing a denial-of-service (DoS) condition, and/or arbitrary code execution.

pub. 2023-01-17
9.8
CVSS
CRITICAL
CVE-2022-29520

An OS command injection vulnerability exists in the console_main_loop :sys functionality of Abode Systems, Inc. iota All-In-One Security Kit 6.9Z. A specially-crafted XCMD can lead to arbitrary command execution. An attacker can send an XML payload to trigger this vulnerability.

pub. 2022-10-25
9.8
CVSS
CRITICAL
CVE-2022-32585

A command execution vulnerability exists in the clish art2 functionality of Robustel R1510 3.3.0. A specially-crafted network request can lead to arbitrary command execution. An attacker can send a sequence of requests to trigger this vulnerability.

pub. 2022-06-30
9.8
CVSS
CRITICAL
CVE-2019-10939

A vulnerability has been identified in TIM 3V-IE (incl. SIPLUS NET variants) (All versions < V2.8), TIM 3V-IE Advanced (incl. SIPLUS NET variants) (All versions < V2.8), TIM 3V-IE DNP3 (incl. SIPLUS NET variants) (All versions < V3.3), TIM 4R-IE (incl. SIPLUS NET variants) (All versions < V2.8), TIM 4R-IE DNP3 (incl. SIPLUS NET variants) (All versions < V3.3). The affected versions contain an open debug port that is available under certain specific conditions. The vulnerability is only available if the IP address is configured to 192.168.1.2. If available, the debug port could be exploited by an attacker with network access to the device. No user interaction is required to exploit this vulnerability. The vulnerability impacts confidentiality, integrity, and availability of the affected device. At the stage of publishing this security advisory no public exploitation is known.

pub. 2020-04-14
9.3
CVSS
CRITICAL
CVE-2026-40035

Podatność w Unfurl (przez wersję 2025.08) polega na nieprawidłowej walidacji danych wejściowych podczas parsowania konfiguracji, co powoduje domyślne włączenie trybu debug Flask. Umożliwia to atakującemu dostęp do debuggera Werkzeug i wykonanie dowolnego kodu zdalnie (RCE) lub ujawnienie wrażliwych informacji.

pub. 2026-04-08
8.9
CVSS
HIGH
CVE-2025-4106

An authenticated admin user with access to both the management WebUI and command line interface on a Firebox can enable a diagnostic debug shell by uploading a platform and version-specific diagnostic package and executing a leftover diagnostic command. This issue affects Fireware OS: from 12.0 before 12.11.2.

pub. 2025-10-24
8.8
CVSS
HIGH
CVE-2024-36475

FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. contain an active debug code vulnerability. If a user who knows how to use the debug function logs in to the product, the debug function may be used and an arbitrary OS command may be executed.

pub. 2024-07-17
8.8
CVSS
HIGH
CVE-2024-31406

Active debug code vulnerability exists in RoamWiFi R10 prior to 4.8.45. If this vulnerability is exploited, a network-adjacent unauthenticated attacker with access to the device may perform unauthorized operations.

pub. 2024-04-24
8.8
CVSS
HIGH
CVE-2022-38715

A leftover debug code vulnerability exists in the httpd shell.cgi functionality of Siretta QUARTZ-GOLD G5.0.1.5-210720-141020. A specially-crafted HTTP request can lead to remote code execution. An attacker can send an HTTP request to trigger this vulnerability.

pub. 2023-01-26
8.8
CVSS
HIGH
CVE-2022-28689

A leftover debug code vulnerability exists in the console support functionality of InHand Networks InRouter302 V3.5.45. A specially-crafted network request can lead to arbitrary command execution. An attacker can send a sequence of requests to trigger this vulnerability.

pub. 2022-11-09
Pokazano 20 z 80 podatności
Informacje
ID: CWE-489
Typ: Base
Podatności: 80
MITRE CWE ↗
← Słownik CWE