CVEbaza.plSłownik CWECWE-602
Common Weakness Enumeration

CWE-602

Client-Side Enforcement of Server-Side Security

Kategoria: ClassCVE: 142
Opis

Produkt składa się z serwera, który polega na kliencie w celu wdrożenia mechanizmu przeznaczonego do ochrony serwera. Powoduje to, że bezpieczeństwo systemu jest narażone, ponieważ klient może być manipulowany lub obejść wdrożone mechanizmy ochrony.

Description (EN)

The product is composed of a server that relies on the client to implement a mechanism that is intended to protect the server.

Podatności CVE z CWE-602 (142)
10.0
CVSS
CRITICAL
CVE-2026-42160

W aplikacji Data Space Portal (wersje od 2.1.1 do przed 7.3.2) backend nie weryfikuje poprawnie uprawnień dla samodzielnie zarejestrowanych kont organizacji i użytkowników w stanie PENDING. Podatność otrzymała maksymalny wynik CVSS 10.0 i może umożliwić nieautoryzowanym podmiotom wykonywanie operacji zarezerwowanych dla zatwierdzonych użytkowników.

pub. 2026-05-08
10.0
CVSS
CRITICAL
CVE-2026-23478

W aplikacji Cal.com (wersje od 3.1.6 do przed 6.0.7) istnieje krytyczna podatność w niestandardowym mechanizmie JWT callback biblioteki NextAuth, która pozwala atakującemu na pełne przejęcie dowolnego konta użytkownika bez znajomości hasła. Zagrożenie jest szczególnie poważne ze względu na brak wymagań uwierzytelnienia i prostotę exploitacji.

pub. 2026-01-13
9.8
CVSS
CRITICAL
CVE-2025-51682

mJobtime 15.7.2 implementuje mechanizmy autoryzacji wyłącznie po stronie klienta, co pozwala atakującemu na ominięcie kontroli dostępu i uzyskanie nieautoryzowanego dostępu do funkcji administracyjnych. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-12-01
9.8
CVSS
CRITICAL
CVE-2025-10640

Nieuwierzytelniony atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może ominąć ekran logowania konsoli administracyjnej WorkExaminer Professional i uzyskać pełny dostęp administracyjny. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń ani interakcji ze strony użytkownika.

pub. 2025-10-21
9.8
CVSS
CRITICAL
CVE-2025-27681

Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 1.0.735 / Application 20.0.1330 nieprawidłowo obsługuje mechanizm bezpieczeństwa komunikacji między procesami klienckimi (Client Inter-process Security V-2022-004). Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość zdalnego przejęcia kontroli bez uwierzytelnienia.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2024-12603

Podatność logiczna w aplikacji mobilnej com.transsion.applock pozwala atakującemu na ominięcie hasła chroniącego aplikacje na urządzeniu. Zagrożenie jest oceniane jako krytyczne (CVSS 9.8), co oznacza możliwość uzyskania pełnego dostępu do chronionych zasobów bez znajomości hasła.

pub. 2024-12-13
9.8
CVSS
CRITICAL
CVE-2023-0750

Yellobrik PEC-1864 implements authentication checks via javascript in the frontend interface.  When the device can be accessed over the network an attacker could bypass authentication. This would allow an attacker to : - Change the password, resulting in a DOS of the users - Change the streaming source, compromising the integrity of the stream - Change the streaming destination, compromising the confidentiality of the stream This issue affects Yellowbrik: PEC 1864. No patch has been issued by the manufacturer as this model was discontinued.

pub. 2023-04-06
9.8
CVSS
CRITICAL
CVE-2020-24683

The affected versions of S+ Operations (version 2.1 SP1 and earlier) used an approach for user authentication which relies on validation at the client node (client-side authentication). This is not as secure as having the server validate a client application before allowing a connection. Therefore, if the network communication or endpoints for these applications are not protected, unauthorized actors can bypass authentication and make unauthorized connections to the server application.

pub. 2020-12-22
9.6
CVSS
CRITICAL
CVE-2026-13901

Insufficient policy enforcement in Serial in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Medium)

pub. 2026-06-30
9.6
CVSS
CRITICAL
CVE-2026-14109

Insufficient policy enforcement in Mojo in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Low)

pub. 2026-06-30
9.6
CVSS
CRITICAL
CVE-2022-20658

A vulnerability in the web-based management interface of Cisco Unified Contact Center Management Portal (Unified CCMP) and Cisco Unified Contact Center Domain Manager (Unified CCDM) could allow an authenticated, remote attacker to elevate their privileges to Administrator. This vulnerability is due to the lack of server-side validation of user permissions. An attacker could exploit this vulnerability by submitting a crafted HTTP request to a vulnerable system. A successful exploit could allow the attacker to create Administrator accounts. With these accounts, the attacker could access and modify telephony and user resources across all the Unified platforms that are associated to the vulnerable Cisco Unified CCMP. To successfully exploit this vulnerability, an attacker would need valid Advanced User credentials.

pub. 2022-01-14
9.4
CVSS
CRITICAL
CVE-2025-32469

W urządzeniach sieciowych RUGGEDCOM ROX firmy Siemens zidentyfikowano podatność klasy command injection w narzędziu 'ping' dostępnym przez interfejs webowy. Zalogowany zdalny atakujący może wykonać dowolny kod z uprawnieniami root, co stanowi krytyczne zagrożenie dla integralności i dostępności urządzeń.

pub. 2025-05-13
9.4
CVSS
CRITICAL
CVE-2025-33024

W interfejsie webowym urządzeń z serii RUGGEDCOM ROX wykryto podatność typu command injection w narzędziu 'tcpdump', umożliwiającą zdalne wykonanie kodu. Zagrożenie jest krytyczne, ponieważ atakujący może uzyskać pełną kontrolę nad urządzeniem z uprawnieniami root.

pub. 2025-05-13
9.4
CVSS
CRITICAL
CVE-2025-33025

W urządzeniach z rodziny RUGGEDCOM ROX wykryto podatność typu command injection w narzędziu 'traceroute' dostępnym przez interfejs webowy. Luka umożliwia uwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami administratora root.

pub. 2025-05-13
9.1
CVSS
CRITICAL
CVE-2022-1525

The Cognex 3D-A1000 Dimensioning System in firmware version 1.0.3 (3354) and prior is vulnerable to CWE-602: Client-Side Enforcement of Server-Side Security, which could allow attackers to bypass web access controls by inspecting and modifying the source code of password protected web elements.

pub. 2022-09-06
8.9
CVSS
HIGH
CVE-2026-25737

Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.24.0 and earlier, an arbitrary file upload vulnerability exists even though file extension restrictions are configured. The restriction is enforced only at the UI level. An attacker can bypass these restrictions and upload malicious files.

pub. 2026-03-09
8.9
CVSS
HIGH
CVE-2025-61197

An issue in Orban Optimod 5950, Optimod 5950HD, Optimod 5750, Optimod 5750HD, Optimod Trio Optimod version 1.0.0.33 - System version 2.5.26 allows a remote attacker to escalate privileges via the application stores user privilege/role information in client-side browser storage

pub. 2025-10-06
8.8
CVSS
HIGH
CVE-2026-13903

Insufficient policy enforcement in Bluetooth in Google Chrome prior to 150.0.7871.47 allowed a remote attacker to perform privilege escalation via a crafted HTML page. (Chromium security severity: Medium)

pub. 2026-06-30
8.8
CVSS
HIGH
CVE-2026-14036

Insufficient policy enforcement in Bluetooth in Google Chrome prior to 150.0.7871.47 allowed a remote attacker to perform privilege escalation via a crafted HTML page. (Chromium security severity: Low)

pub. 2026-06-30
8.8
CVSS
HIGH
CVE-2026-14041

Insufficient policy enforcement in Serial in Google Chrome prior to 150.0.7871.47 allowed a remote attacker to perform privilege escalation via a crafted HTML page. (Chromium security severity: Low)

pub. 2026-06-30
Pokazano 20 z 142 podatności
Informacje
ID: CWE-602
Typ: Class
Podatności: 142
MITRE CWE ↗
← Słownik CWE
CWE-602 — Implementacja po stronie klienta mechanizmów bezpieczeństwa serwera | Słownik CWE | CVEbaza.pl