CVEbaza.plSłownik CWECWE-665
Common Weakness Enumeration

CWE-665

Improper Initialization

Kategoria: ClassCVE: 420
Opis

Produkt nie inicjalizuje lub nieprawidłowo inicjalizuje zasób, co może pozostawić zasób w nieoczekiwanym stanie podczas jego dostępu lub użycia. Może to prowadzić do nieprzewidywalnego zachowania aplikacji lub podatności bezpieczeństwa.

Description (EN)

The product does not initialize or incorrectly initializes a resource, which might leave the resource in an unexpected state when it is accessed or used.

Podatności CVE z CWE-665 (420)
9.8
CVSS
CRITICAL
CVE-2024-39864

Błąd w logice inicjalizacji usługi integracyjnej API w Apache CloudStack powoduje, że zamiast pozostać wyłączoną (port 0), usługa nasłuchuje na losowym porcie sieciowym bez uwierzytelnienia. Atakujący z dostępem do sieci zarządzania CloudStack może odnaleźć ten port i przejąć pełną kontrolę nad infrastrukturą.

pub. 2024-07-05
9.8
CVSS
CRITICAL
CVE-2021-33635

When malicious images are pulled by isula pull, attackers can execute arbitrary code.

pub. 2023-10-29
9.8
CVSS
CRITICAL
CVE-2022-37128

In D-Link DIR-816 A2_v1.10CNB04.img the network can be initialized without authentication via /goform/wizard_end.

pub. 2022-08-31
9.8
CVSS
CRITICAL
CVE-2021-41264

OpenZeppelin Contracts is a library for smart contract development. In affected versions upgradeable contracts using `UUPSUpgradeable` may be vulnerable to an attack affecting uninitialized implementation contracts. A fix is included in version 4.3.2 of `@openzeppelin/contracts` and `@openzeppelin/contracts-upgradeable`. For users unable to upgrade; initialize implementation contracts using `UUPSUpgradeable` by invoking the initializer function (usually called `initialize`). An example is provided [in the forum](https://forum.openzeppelin.com/t/security-advisory-initialize-uups-implementation-contracts/15301).

pub. 2021-11-12
9.8
CVSS
CRITICAL
CVE-2019-10196

A flaw was found in http-proxy-agent, prior to version 2.1.0. It was discovered http-proxy-agent passes an auth option to the Buffer constructor without proper sanitization. This could result in a Denial of Service through the usage of all available CPU resources and data exposure through an uninitialized memory leak in setups where an attacker could submit typed input to the auth parameter.

pub. 2021-03-19
9.8
CVSS
CRITICAL
CVE-2015-8367

The phase_one_correct function in Libraw before 0.17.1 allows attackers to cause memory errors and possibly execute arbitrary code, related to memory object initialization.

pub. 2020-01-14
9.8
CVSS
CRITICAL
CVE-2019-14271

In Docker 19.03.x before 19.03.1 linked against the GNU C Library (aka glibc), code injection can occur when the nsswitch facility dynamically loads a library inside a chroot that contains the contents of the container.

pub. 2019-07-29
9.8
CVSS
CRITICAL
CVE-2018-11949

Failure to initialize the extra buffer can lead to an out of buffer access in WLAN function in Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile in MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8996AU, QCS605, SD 425, SD 427, SD 430, SD 435, SD 450, SD 625, SD 636, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM630, SDM660, SDX20, SDX24

pub. 2019-05-24
9.8
CVSS
CRITICAL
CVE-2019-3464

Insufficient sanitization of environment variables passed to rsync can bypass the restrictions imposed by rssh, a restricted shell that should restrict users to perform only rsync operations, resulting in the execution of arbitrary shell commands.

pub. 2019-02-06
9.8
CVSS
CRITICAL
CVE-2017-13715

The __skb_flow_dissect function in net/core/flow_dissector.c in the Linux kernel before 4.3 does not ensure that n_proto, ip_proto, and thoff are initialized, which allows remote attackers to cause a denial of service (system crash) or possibly execute arbitrary code via a single crafted MPLS packet.

pub. 2017-08-29
9.8
CVSS
CRITICAL
CVE-2008-0062

KDC in MIT Kerberos 5 (krb5kdc) does not set a global variable for some krb4 message types, which allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via crafted messages that trigger a NULL pointer dereference or double-free.

pub. 2008-03-19
9.6
CVSS
CRITICAL
CVE-2021-3329

Lack of proper validation in HCI Host stack initialization can cause a crash of the bluetooth stack

pub. 2023-02-26
9.6
CVSS
CRITICAL
CVE-2023-0397

A malicious / defect bluetooth controller can cause a Denial of Service due to unchecked input in le_read_buffer_size_complete.

pub. 2023-01-19
9.4
CVSS
CRITICAL
CVE-2024-36455

Podatność w systemie Broadcom PAM (Privileged Access Management) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych poprzez wysłanie specjalnie spreparowanego żądania HTTP. Ze względu na brak wymogu uwierzytelnienia i krytyczny wynik CVSS 9.4, podatność stanowi poważne zagrożenie dla infrastruktury zarządzania dostępem uprzywilejowanym.

pub. 2024-07-15
9.4
CVSS
CRITICAL
CVE-2022-46164

NodeBB is an open source Node.js based forum software. Due to a plain object with a prototype being used in socket.io message handling a specially crafted payload can be used to impersonate other users and takeover accounts. This vulnerability has been patched in version 2.6.1. Users are advised to upgrade. Users unable to upgrade may cherry-pick commit `48d143921753914da45926cca6370a92ed0c46b8` into their codebase to patch the exploit.

pub. 2022-12-05
9.3
CVSS
CRITICAL
CVE-2024-21807

Nieprawidłowa inicjalizacja w sterowniku trybu jądra Linux dla wybranych kontrolerów i adapterów sieciowych Intel Ethernet (przed wersją 28.3) umożliwia uwierzytelnionemu użytkownikowi lokalnemu eskalację uprawnień. Podatność otrzymała ocenę CVSS 9.3, co klasyfikuje ją jako krytyczną.

pub. 2024-08-14
9.2
CVSS
CRITICAL
CVE-2024-54129

W implementacji NASA Interplanetary Overlay Network (ION-DTN) w wersji 4.1.3 istnieje podatność klasy CWE-665 (nieprawidłowa inicjalizacja), która może spowodować całkowity brak responsywności oprogramowania. Zagrożenie jest szczególnie poważne ze względu na środowiska, w których ION-DTN pełni rolę krytycznej infrastruktury komunikacyjnej.

pub. 2024-12-05
9.1
CVSS
CRITICAL
CVE-2017-5468

An issue with incorrect ownership model of "privateBrowsing" information exposed through developer tools. This can result in a non-exploitable crash when manually triggered during debugging. This vulnerability affects Firefox < 53.

pub. 2018-06-11
9.0
CVSS
CRITICAL
CVE-2022-0947

A vulnerability in ABB ARG600 Wireless Gateway series that could allow an attacker to exploit the vulnerability by remotely connecting to the serial port gateway, and/or protocol converter, depending on the configuration.

pub. 2022-05-10
8.8
CVSS
HIGH
CVE-2023-28737

Improper initialization in some Intel(R) Aptio* V UEFI Firmware Integrator Tools may allow an authenticated user to potentially enable escalation of privilege via local access.

pub. 2023-11-14
Pokazano 20 z 420 podatności
Informacje
ID: CWE-665
Typ: Class
Podatności: 420
MITRE CWE ↗
← Słownik CWE
CWE-665 — Nieprawidłowa inicjalizacja | Słownik CWE | CVEbaza.pl