CVEbaza.plSłownik CWECWE-732
Common Weakness Enumeration

CWE-732

Incorrect Permission Assignment for Critical Resource

Kategoria: ClassCVE: 1878
Opis

Produkt przypisuje uprawnienia dla zasobu krytycznego z punktu widzenia bezpieczeństwa w sposób umożliwiający jego odczytanie lub modyfikację przez niepowołanych użytkowników. Prowadzi to do potencjalnego naruszenia poufności i integralności danych.

Description (EN)

The product specifies permissions for a security-critical resource in a way that allows that resource to be read or modified by unintended actors.

Podatności CVE z CWE-732 (1878)
10.0
CVSS
CRITICAL
CVE-2026-9508

Nieprawidłowe ustawienia uprawnień w Suprema BioStar 2 (wersje 2.9.3–2.9.11) powodują, że pliki kopii zapasowych mogą być publicznie dostępne przez serwer NGINX. Atakujący z dostępem sieciowym może pobrać pliki backup ZIP bez żadnego uwierzytelnienia, co grozi przejęciem serwera i nieautoryzowanym dostępem do baz danych.

pub. 2026-05-29
10.0
CVSS
CRITICAL
CVE-2025-14988

W oprogramowaniu ibaPDA wykryto krytyczną podatność związaną z nieprawidłową konfiguracją uprawnień do systemu plików (CWE-732). Luka umożliwia nieautoryzowanym użytkownikom wykonywanie operacji na systemie plików, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2025-69426

Firmware Ruckus vRIoT IoT Controller w wersjach wcześniejszych niż 3.0.0.0 (GA) zawiera zakodowane na stałe dane uwierzytelniające (hardcoded credentials) dla konta systemowego. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad urządzeniem z uprawnieniami root.

pub. 2026-01-09
10.0
CVSS
CRITICAL
CVE-2025-12004

Podatność klasy CWE-732 (Incorrect Permission Assignment for Critical Resource) w rozszerzeniu Lockdown dla MediaWiki umożliwia nieuprawnione nadużycie przywilejów (Privilege Abuse). Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla wszystkich instancji korzystających z tego rozszerzenia.

pub. 2025-10-21
10.0
CVSS
CRITICAL
CVE-2014-125121

Urządzenia Array Networks vAPV (8.3.2.17) i vxAG (9.2.0.34) zawierają zakodowane na stałe dane uwierzytelniające SSH (lub klucz prywatny DSA) oraz skrypt startowy z niebezpiecznymi uprawnieniami, co umożliwia nieautoryzowanemu atakującemu zdalne przejęcie pełnej kontroli nad systemem. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytyczną.

pub. 2025-07-31
9.9
CVSS
CRITICAL
CVE-2025-46093

LiquidFiles w wersjach przed 4.1.2 umożliwia użytkownikom FTPDrop wykonanie dowolnego kodu z uprawnieniami root poprzez nadużycie polecenia FTP SITE CHMOD z trybem 6777 (setuid i setgid). Podatność jest krytyczna, ponieważ uwierzytelniony, lecz nieuprzywilejowany użytkownik może przejąć pełną kontrolę nad systemem.

pub. 2025-08-04
9.9
CVSS
CRITICAL
CVE-2025-0066

Podatność w komponencie Internet Communication Framework (ICF) platformy SAP NetWeaver AS for ABAP pozwala uwierzytelnionemu atakującemu na dostęp do chronionych zasobów systemowych. Słabe mechanizmy kontroli dostępu mogą prowadzić do poważnych naruszeń poufności, integralności i dostępności aplikacji.

pub. 2025-01-14
9.9
CVSS
CRITICAL
CVE-2024-5618

Podatność w PruvaSoft Informatics Apinizer Management Console polega na nieprawidłowym przypisaniu uprawnień do krytycznych zasobów systemu. Błąd pozwala uwierzytelnionemu użytkownikowi sieciowemu na dostęp do funkcji, które powinny być chronione przez listy kontroli dostępu (ACL).

pub. 2024-07-18
9.9
CVSS
CRITICAL
CVE-2023-40622

SAP BusinessObjects Business Intelligence Platform (Promotion Management) - versions 420, 430, under certain condition allows an authenticated attacker to view sensitive information which is otherwise restricted. On successful exploitation, the attacker can completely compromise the application causing high impact on confidentiality, integrity, and availability.

pub. 2023-09-12
9.9
CVSS
CRITICAL
CVE-2022-28802

Code by Zapier before 2022-08-17 allowed intra-account privilege escalation that included execution of Python or JavaScript code. In other words, Code by Zapier was providing a customer-controlled general-purpose virtual machine that unintentionally granted full access to all users of a company's account, but was supposed to enforce role-based access control within that company's account. Before 2022-08-17, a customer could have resolved this by (in effect) using a separate virtual machine for an application that held credentials - or other secrets - that weren't supposed to be shared among all of its employees. (Multiple accounts would have been needed to operate these independent virtual machines.)

pub. 2022-09-21
9.9
CVSS
CRITICAL
CVE-2021-33509

Plone through 5.2.4 allows remote authenticated managers to perform disk I/O via crafted keyword arguments to the ReStructuredText transform in a Python script.

pub. 2021-05-21
9.8
CVSS
CRITICAL
CVE-2025-8042

Firefox for Android nieprawidłowo egzekwował atrybut bezpieczeństwa `allow-downloads` dla osadzonych ramek iframe działających w trybie sandbox. Umożliwia to złośliwej stronie internetowej inicjowanie pobierania plików pomimo braku wymaganego uprawnienia.

pub. 2025-08-19
9.8
CVSS
CRITICAL
CVE-2025-45150

Podatność w aplikacji LangChain-ChatGLM-Webui (commit ef829) pozwala nieuwierzytelnionym atakującym na dowolne przeglądanie i pobieranie wrażliwych plików. Wysoki wynik CVSS 9.8 wynika z braku wymagań co do uwierzytelnienia i dostępności przez sieć.

pub. 2025-08-01
9.8
CVSS
CRITICAL
CVE-2025-43243

Podatność w systemach Apple macOS wynika z niewystarczających ograniczeń uprawnień (CWE-732), co pozwala złośliwej aplikacji na modyfikację chronionych obszarów systemu plików. Krytyczny poziom CVSS 9.8 oznacza, że exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2025-07-30
9.8
CVSS
CRITICAL
CVE-2025-25373

Moduł zarządzania pamięcią (Memory Management Module) w systemie NASA cFS (Core Flight System) w wersji Aquila posiada nieprawidłowo skonfigurowane uprawnienia (CWE-732). Luka ta jest krytyczna, ponieważ pozwala nieuwierzytelnionemu zdalnie atakującemu na wykonanie dowolnego kodu na platformie (RCE).

pub. 2025-03-25
9.8
CVSS
CRITICAL
CVE-2024-57520

Podatność w funkcji action_createconfig systemu Asterisk v22 umożliwia zdalnemu atakującemu tworzenie pustych plików poza katalogiem aplikacji (path traversal). Ocena krytyczności jest kwestionowana przez producenta, który wskazuje, że rzeczywisty wpływ jest ograniczony i wymaga uprawnionego użytkownika.

pub. 2025-02-05
9.8
CVSS
CRITICAL
CVE-2024-41647

Podatność klasy Insecure Permissions w komponencie nav2_mppi_controller pakietu navigation2 dla Robot Operating System 2 (wersja humble) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla systemów robotycznych korzystających z tego oprogramowania.

pub. 2024-12-06
9.8
CVSS
CRITICAL
CVE-2024-10018

Błąd kontroli uprawnień w aplikacji mobilnej com.transsion.aivoiceassistant umożliwia nieautoryzowane uruchomienie dowolnego nieeksportowanego komponentu aplikacji. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza poważne zagrożenie dla urządzeń z zainstalowaną aplikacją.

pub. 2024-10-16
9.8
CVSS
CRITICAL
CVE-2024-24117

Podatność w urządzeniu Ruijie RG-NBS2009G-P pozwala zdalnemu atakującemu na uzyskanie podwyższonych uprawnień bez uwierzytelnienia. Ze względu na krytyczny wynik CVSS 9.8 oraz brak wymagań wstępnych po stronie atakującego stanowi poważne zagrożenie dla bezpieczeństwa sieci.

pub. 2024-10-02
9.8
CVSS
CRITICAL
CVE-2024-8039

Podatność w aplikacji mobilnej BoomPlayer (com.afmobi.boomplayer) polega na nieprawidłowej konfiguracji uprawnień domeny, co może prowadzić do przejęcia konta użytkownika. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia.

pub. 2024-09-14
Pokazano 20 z 1878 podatności
Informacje
ID: CWE-732
Typ: Class
Podatności: 1878
MITRE CWE ↗
← Słownik CWE
CWE-732 — Nieprawidłowe przypisanie uprawnień do krytycznego zasobu | Słownik CWE | CVEbaza.pl