CVEbaza.plSłownik CWECWE-770
Common Weakness Enumeration

CWE-770

Allocation of Resources Without Limits or Throttling

Kategoria: BaseCVE: 2209
Opis

Produkt przydzieluje zasoby wielokrotnego użytku lub grupy zasobów w imieniu użytkownika bez narzucenia żadnych zamierzonych ograniczeń na wielkość lub liczbę możliwych do przydzielenia zasobów. Może to prowadzić do wyczerpania dostępnych zasobów systemowych.

Description (EN)

The product allocates a reusable resource or group of resources on behalf of an actor without imposing any intended restrictions on the size or number of resources that can be allocated.

Podatności CVE z CWE-770 (2209)
10.0
CVSS
CRITICAL
CVE-2025-11832

Podatność klasy CWE-770 w urządzeniach Azure Access Technology BLU-IC2 oraz BLU-IC4 umożliwia atakującemu przeprowadzenie ataku typu flooding bez konieczności uwierzytelnienia. Luka otrzymała maksymalną ocenę CVSS 10.0, co czyni ją zagrożeniem krytycznym.

pub. 2025-10-15
9.8
CVSS
CRITICAL
CVE-2026-31283

Totara LMS w wersji v19.1.5 i wcześniejszych nie implementuje rate limiting dla docelowego adresu e-mail w API resetowania hasła, co umożliwia przeprowadzenie ataku Email Bombing. Podatność może być wykorzystana do zasypania skrzynki pocztowej ofiary dużą liczbą wiadomości e-mail z żądaniami resetowania hasła.

pub. 2026-04-13
9.8
CVSS
CRITICAL
CVE-2024-44241

Podatność w firmware DCP (Display Coprocessor) urządzeń Apple umożliwia atakującemu zdalne wywołanie nieoczekiwanego zakończenia systemu lub wykonania dowolnego kodu. Wysoki wynik CVSS 9.8 wskazuje na brak wymagań co do uwierzytelnienia czy interakcji użytkownika.

pub. 2024-12-12
9.8
CVSS
CRITICAL
CVE-2021-42142

Błąd w implementacji serwera DTLS w bibliotece tinyDTLS (Contiki-NG) powoduje nieprawidłową obsługę przedwczesnego użycia dużego numeru epoki. Podatność umożliwia zdalnym atakującym wywołanie odmowy usługi (DoS) oraz fałszywego odrzucania pakietów, co może zakłócić komunikację urządzeń IoT.

pub. 2024-01-23
9.8
CVSS
CRITICAL
CVE-2021-46760

A malicious or compromised UApp or ABL can send a malformed system call to the bootloader, which may result in an out-of-bounds memory access that may potentially lead to an attacker leaking sensitive information or achieving code execution.

pub. 2023-05-09
9.8
CVSS
CRITICAL
CVE-2022-3439

Allocation of Resources Without Limits or Throttling in GitHub repository ikus060/rdiffweb prior to 2.5.0.

pub. 2022-10-14
9.8
CVSS
CRITICAL
CVE-2022-3456

Allocation of Resources Without Limits or Throttling in GitHub repository ikus060/rdiffweb prior to 2.5.0.

pub. 2022-10-13
9.8
CVSS
CRITICAL
CVE-2022-3273

Allocation of Resources Without Limits or Throttling in GitHub repository ikus060/rdiffweb prior to 2.5.0a4.

pub. 2022-10-06
9.8
CVSS
CRITICAL
CVE-2022-29503

A memory corruption vulnerability exists in the libpthread linuxthreads functionality of uClibC 0.9.33.2 and uClibC-ng 1.0.40. Thread allocation can lead to memory corruption. An attacker can create threads to trigger this vulnerability.

pub. 2022-09-29
9.8
CVSS
CRITICAL
CVE-2019-17067

PuTTY before 0.73 on Windows improperly opens port-forwarding listening sockets, which allows attackers to listen on the same port to steal an incoming connection.

pub. 2019-10-01
9.8
CVSS
CRITICAL
CVE-2018-20033

A Remote Code Execution vulnerability in lmgrd and vendor daemon components of FlexNet Publisher version 11.16.1.0 and earlier could allow a remote attacker to corrupt the memory by allocating / deallocating memory, loading lmgrd or the vendor daemon and causing the heartbeat between lmgrd and the vendor daemon to stop. This would force the vendor daemon to shut down. No exploit of this vulnerability has been demonstrated.

pub. 2019-02-25
9.8
CVSS
CRITICAL
CVE-2017-6713

A vulnerability in the Play Framework of Cisco Elastic Services Controller (ESC) could allow an unauthenticated, remote attacker to gain full access to the affected system. The vulnerability is due to static, default credentials for the Cisco ESC UI that are shared between installations. An attacker who can extract the static credentials from an existing installation of Cisco ESC could generate an admin session token that allows access to all instances of the ESC web UI. This vulnerability affects Cisco Elastic Services Controller prior to releases 2.3.1.434 and 2.3.2. Cisco Bug IDs: CSCvc76627.

pub. 2017-07-06
9.8
CVSS
CRITICAL
CVE-2017-6640

A vulnerability in Cisco Prime Data Center Network Manager (DCNM) Software could allow an unauthenticated, remote attacker to log in to the administrative console of a DCNM server by using an account that has a default, static password. The account could be granted root- or system-level privileges. The vulnerability exists because the affected software has a default user account that has a default, static password. The user account is created automatically when the software is installed. An attacker could exploit this vulnerability by connecting remotely to an affected system and logging in to the affected software by using the credentials for this default user account. A successful exploit could allow the attacker to use this default user account to log in to the affected software and gain access to the administrative console of a DCNM server. This vulnerability affects Cisco Prime Data Center Network Manager (DCNM) Software releases prior to Release 10.2(1) for Microsoft Windows, Linux, and Virtual Appliance platforms. Cisco Bug IDs: CSCvd95346.

pub. 2017-06-08
9.4
CVSS
CRITICAL
CVE-2021-41591

ACINQ Eclair before 0.6.3 allows loss of funds because of dust HTLC exposure.

pub. 2021-10-04
9.4
CVSS
CRITICAL
CVE-2021-41592

Blockstream c-lightning through 0.10.1 allows loss of funds because of dust HTLC exposure.

pub. 2021-10-04
9.3
CVSS
CRITICAL
CVE-2026-12818

Delta Electronics DVP12SE PLCs are susceptible to a resource allocation vulnerability without limits or throttling (CWE-770) within their Modbus TCP service.

pub. 2026-06-30
9.3
CVSS
CRITICAL
CVE-2025-22273

CyberArk Endpoint Privilege Manager (SaaS 24.7.1) nie ogranicza liczby ani częstotliwości żądań do endpointu zmiany hasła, co umożliwia przeprowadzenie ataku brute force na aktualne hasło użytkownika. Ze względu na krytyczny charakter produktu (zarządzanie uprawnieniami na stacjach końcowych) skuteczne przejęcie konta może mieć poważne konsekwencje.

pub. 2025-02-28
9.2
CVSS
CRITICAL
CVE-2026-48853

Biblioteka elixir-grpc deserializuje dane gRPC z użyciem niebezpiecznej funkcji :erlang.binary_to_term/1 bez opcji :safe, co pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu lub crash serwera. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-06-15
9.2
CVSS
CRITICAL
CVE-2026-25579

Uwierzytelniony użytkownik może wywołać awarię serwera Navidrome, podając nadmiernie dużą wartość parametru rozmiaru obrazka w żądaniach do endpointów obsługujących okładki albumów lub współdzielone obrazy. Podatność prowadzi do pełnej niedostępności usługi (DoS) oraz potencjalnego wyczerpania przestrzeni dyskowej serwera.

pub. 2026-02-04
9.2
CVSS
CRITICAL
CVE-2025-65015

Biblioteka Python joserfc (autorstwa Hsiaoming) jest podatna na atak wyczerpania zasobów (CWE-770) poprzez przesyłanie nadmiernie dużych tokenów JWT. Atakujący może spowodować przetwarzanie ekstremalnie dużych komunikatów w systemach logowania, co może prowadzić do niedostępności aplikacji lub infrastruktury diagnostycznej.

pub. 2025-11-18
Pokazano 20 z 2209 podatności
Informacje
ID: CWE-770
Typ: Base
Podatności: 2209
MITRE CWE ↗
← Słownik CWE
CWE-770 — Alokacja zasobów bez limitów lub ograniczania | Słownik CWE | CVEbaza.pl