CVEbaza.plSłownik CWECWE-749
Common Weakness Enumeration

CWE-749

Exposed Dangerous Method or Function

Kategoria: BaseCVE: 173
Opis

Produkt udostępnia interfejs programistyczny (API) lub podobny interfejs do interakcji z zewnętrznymi użytkownikami, ale interfejs zawiera niebezpieczną metodę lub funkcję, która nie jest odpowiednio ograniczona. Może to pozwolić na nieautoryzowany dostęp lub wykonanie niezamierzonych operacji.

Description (EN)

The product provides an Applications Programming Interface (API) or similar interface for interaction with external actors, but the interface includes a dangerous method or function that is not properly restricted.

Podatności CVE z CWE-749 (173)
10.0
CVSS
CRITICAL
CVE-2022-31491

Podatność w oprogramowaniu Voltronic Power ViewPower, ViewPower Pro oraz PowerShield Netguard umożliwia zdalnemu, nieuwiertelnionemu atakującemu wykonanie dowolnego kodu przez interfejs webowy. Ocena CVSS 10.0 oznacza maksymalne zagrożenie — atakujący nie potrzebuje żadnych uprawnień ani interakcji użytkownika.

pub. 2025-08-22
10.0
CVSS
CRITICAL
CVE-2023-40151

Urządzenia RTU serii Red Lion SixTRAK i VersaTRAK akceptują wiadomości protokołu Sixnet UDR przesłane przez TCP/IP bez weryfikacji uwierzytelnienia, nawet gdy funkcja uwierzytelniania użytkowników jest włączona. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury przemysłowej (ICS/OT).

pub. 2023-11-21
9.9
CVSS
CRITICAL
CVE-2026-55454

W platformie Appsmith (przed wersją 2.1) wbudowany reverse proxy Caddy udostępnia niezabezpieczone API administracyjne na porcie 2019, dostępne z poziomu procesu serwera Appsmith. Uwierzytelniony użytkownik z niskimi uprawnieniami może wykorzystać podatność SSRF do przejęcia pełnej kontroli nad konfiguracją działającego serwera proxy.

pub. 2026-06-24
9.9
CVSS
CRITICAL
CVE-2026-41283

OpenStack Mistral w wersji do 22.0.0 umożliwia zdalne wykonanie dowolnego kodu (RCE) w sytuacji, gdy API usługi jest publicznie lub sieciowo dostępne. Podatność jest krytyczna, ponieważ może prowadzić do przejęcia kontroli nad środowiskiem i wycieku poświadczeń usług.

pub. 2026-06-04
9.9
CVSS
CRITICAL
CVE-2026-30921

Podatność w OneUptime (wersje przed 10.0.20) umożliwia nisko uprzywilejowanemu użytkownikowi projektu wykonanie dowolnego kodu na serwerze (RCE) poprzez przesłanie złośliwego kodu Playwright do usługi oneuptime-probe. Zagrożenie jest krytyczne, ponieważ atakujący może przejąć kontrolę nad hostem lub kontenerem bez potrzeby klasycznej eskapady z sandbox.

pub. 2026-03-10
9.9
CVSS
CRITICAL
CVE-2026-30957

Podatność w OneUptime (przed wersją 10.0.21) pozwala niskouprzywilejowanemu uwierzytelnionemu użytkownikowi projektu na zdalne wykonanie dowolnych poleceń na serwerze lub kontenerze oneuptime-probe. Ze względu na krytyczny wynik CVSS 9.9 i brak wymagań co do wysokich uprawnień, zagrożenie jest bardzo poważne.

pub. 2026-03-10
9.9
CVSS
CRITICAL
CVE-2024-32764

W aplikacji myQNAPcloud Link firmy QNAP wykryto podatność polegającą na braku uwierzytelnienia dla krytycznych funkcji (CWE-306). Błąd umożliwia nieuwierzytelnionemu atakującemu dostęp przez sieć do funkcji, które powinny być chronione, co stanowi poważne zagrożenie dla integralności i poufności danych.

pub. 2024-04-26
9.9
CVSS
CRITICAL
CVE-2019-18342

A vulnerability has been identified in Control Center Server (CCS) (All versions < V1.5.0). The SFTP service (default port 22/tcp) of the Control Center Server (CCS) does not properly limit its capabilities to the specified purpose. In conjunction with CVE-2019-18341, an unauthenticated remote attacker with network access to the CCS server could exploit this vulnerability to read or delete arbitrary files, or access other resources on the same server.

pub. 2019-12-12
9.8
CVSS
CRITICAL
CVE-2026-24118

Biblioteka vm2 dla Node.js w wersjach przed 3.11.0 zawiera krytyczną podatność umożliwiającą ucieczkę z sandboxa (sandbox breakout). Atakujący może wykonać dowolne polecenia bezpośrednio na systemie hosta, całkowicie omijając izolację zapewnianą przez środowisko vm2.

pub. 2026-05-04
9.8
CVSS
CRITICAL
CVE-2025-59403

Aplikacja Flock Safety Android Collins (com.flocksafety.android.collins) w wersji 6.35.31 udostępnia administracyjne punkty końcowe API na porcie 8080 bez jakiegokolwiek uwierzytelnienia. Podatność umożliwia atakującemu w tej samej sieci LAN/WLAN m.in. zdalne wykonanie kodu (RCE), wywołanie odmowy usługi (DoS) oraz ujawnienie poufnych informacji.

pub. 2025-10-02
9.8
CVSS
CRITICAL
CVE-2023-40500

Podatność w LG Simple Editor umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Ze względu na brak walidacji ścieżki podanej przez użytkownika, atakujący może przejąć pełną kontrolę nad systemem z uprawnieniami SYSTEM.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-40501

Podatność w aplikacji LG Simple Editor umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Ze względu na krytyczny wynik CVSS 9.8 oraz możliwość uzyskania uprawnień SYSTEM stanowi poważne zagrożenie dla infrastruktury.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-44414

Podatność w oprogramowaniu D-Link D-View umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na brak wymogu autoryzacji oraz najwyższy wynik CVSS 9.8, stanowi krytyczne zagrożenie dla każdej instalacji tego produktu.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51574

Podatność w aplikacji Voltronic Power ViewPower umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na krytyczny wynik CVSS (9.8) i brak wymagań wstępnych stanowi poważne zagrożenie dla systemów zarządzania zasilaczami UPS.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51575

Podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelniania. Ze względu na krytyczny wynik CVSS (9.8) i brak wymagań wstępnych stanowi poważne zagrożenie dla systemów zarządzania zasilaniem UPS.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51581

Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Wynika z nieprawidłowego udostępnienia niebezpiecznej metody w klasie MacMonitorConsole.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51582

Krytyczna podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnym atakującym wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Ze względu na brak wymagań wstępnych po stronie atakującego stanowi poważne zagrożenie dla każdej instalacji dostępnej z sieci.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51583

Podatność w oprogramowaniu Voltronic Power ViewPower umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na brak wymagań co do uprawnień i dostępu sieciowego, zagrożenie jest krytyczne.

pub. 2024-05-03
9.8
CVSS
CRITICAL
CVE-2023-51573

Podatność w oprogramowaniu Voltronic Power ViewPower Pro umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na pełny brak wymagań wstępnych i krytyczny wynik CVSS (9.8), stanowi poważne zagrożenie dla każdej instalacji dostępnej z sieci.

pub. 2024-04-01
9.8
CVSS
CRITICAL
CVE-2024-27444

Podatność w bibliotece langchain_experimental (LangChain przed wersją 0.1.8) umożliwia atakującemu zdalne wykonanie dowolnego kodu (RCE) poprzez obejście wcześniejszej poprawki bezpieczeństwa CVE-2023-44467. Ze względu na brak filtrowania kluczowych atrybutów Pythona podatność może być wykorzystana bez uwierzytelnienia przez sieć.

pub. 2024-02-26
Pokazano 20 z 173 podatności
Informacje
ID: CWE-749
Typ: Base
Podatności: 173
MITRE CWE ↗
← Słownik CWE
CWE-749 — Udostępniona Niebezpieczna Metoda lub Funkcja | Słownik CWE | CVEbaza.pl