CVEbaza.plSłownik CWECWE-912
Common Weakness Enumeration

CWE-912

Hidden Functionality

Kategoria: ClassCVE: 79
Opis

Produkt zawiera funkcjonalność, która nie jest udokumentowana, nie jest częścią specyfikacji i nie jest dostępna poprzez interfejs lub sekwencję poleceń oczywistą dla użytkowników lub administratorów produktu. Tego rodzaju ukryte funkcje mogą stanowić zagrożenie bezpieczeństwa lub być wykorzystywane w złośliwych celach.

Description (EN)

The product contains functionality that is not documented, not part of the specification, and not accessible through an interface or command sequence that is obvious to the product's users or administrators.

Podatności CVE z CWE-912 (79)
10.0
CVSS
CRITICAL
CVE-2026-3587

Podatność w ukrytej funkcji interfejsu wiersza poleceń (CLI) pozwala nieuwierzytelnionemu atakującemu zdalnie uciec z ograniczonego interfejsu i uzyskać pełną kontrolę nad urządzeniem. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych wymagań wstępnych po stronie atakującego.

pub. 2026-03-23
10.0
CVSS
CRITICAL
CVE-2011-10018

Wersja MyBB 1.6.4 została rozpowszechniona z nieautoryzowanym backdoorem wbudowanym w kod źródłowy podczas procesu pakowania. Podatność umożliwia zdalnemu atakującemu wykonanie dowolnego kodu PHP bez jakiejkolwiek autoryzacji, co prowadzi do pełnego przejęcia serwera WWW.

pub. 2025-08-13
10.0
CVSS
CRITICAL
CVE-2024-39754

Podatność statycznych danych logowania (CWE-912) w firmware Wavlink AC3000 M33A8 pozwala nieuwierzytelnionemu atakującemu uzyskać dostęp root do urządzenia. Krytyczny poziom zagrożenia (CVSS 10.0) wynika z braku konieczności uwierzytelnienia i możliwości całkowitego przejęcia kontroli nad urządzeniem.

pub. 2025-01-14
9.8
CVSS
CRITICAL
CVE-2026-1952

Urządzenie Delta Electronics AS320T zawiera podatność umożliwiającą przeprowadzenie ataku typu DoS (Denial of Service) za pośrednictwem nieudokumentowanej subfunkcji. Podatność jest sklasyfikowana jako krytyczna z wynikiem CVSS 9.8, co wskazuje na możliwość jej wykorzystania zdalnie, bez uwierzytelnienia.

pub. 2026-04-24
9.8
CVSS
CRITICAL
CVE-2024-45697

Routery D-Link DIR-X4860 posiadają ukrytą funkcjonalność, która automatycznie aktywuje usługę telnet po podłączeniu portu WAN. Nieautoryzowany atakujący może zalogować się zdalnie przy użyciu zakodowanych na stałe danych uwierzytelniających i wykonywać polecenia systemowe.

pub. 2024-09-16
9.8
CVSS
CRITICAL
CVE-2024-20439

W aplikacji Cisco Smart Licensing Utility (CSLU) odkryto zakodowane na stałe, nieudokumentowane dane uwierzytelniające dla konta administracyjnego. Podatność pozwala nieuwierzytelnionemu atakującemu zdalnie zalogować się do systemu z pełnymi uprawnieniami administracyjnymi — jest aktywnie wykorzystywana w realnych atakach.

pub. 2024-09-04🚩 CISA KEV⚡ EXPLOIT
9.8
CVSS
CRITICAL
CVE-2024-5514

MinMax CMS firmy MinMax Digital Technology zawiera ukryte konto administratora z niezmiennym, zakodowanym na stałe hasłem, którego nie można usunąć ani wyłączyć z poziomu interfejsu zarządzania. Jest to podatność krytyczna, ponieważ zdalny atakujący może przejąć pełną kontrolę nad systemem bez pozostawiania śladów w logach.

pub. 2024-05-30
9.8
CVSS
CRITICAL
CVE-2024-28011

Podatność typu Hidden Functionality (CWE-912) w oprogramowaniu układowym routerów NEC Aterm pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami root. Ze względu na brak wymagań dotyczących uwierzytelnienia oraz możliwość ataku przez internet, zagrożenie jest krytyczne.

pub. 2024-03-28
9.8
CVSS
CRITICAL
CVE-2023-24108

MvcTools 6d48cd6830fc1df1d8c9d61caa1805fd6a1b7737 was discovered to contain a code execution backdoor via the request package (requirements.txt). This vulnerability allows attackers to access sensitive user information and execute arbitrary code.

pub. 2023-02-22
9.8
CVSS
CRITICAL
CVE-2022-47767

A backdoor in Solar-Log Gateway products allows remote access via web panel gaining super administration privileges to the attacker. This affects Solar-Log devices that use firmware version v4.2.7 up to v5.1.1 (included). This does not exist in SL 200, 500, 1000 / fixed in 4.2.8 for SL 250, 300, 1200, 2000, SL 50 Gateway / fixed in 5.1.2 / 6.0.0 for SL Base.

pub. 2023-01-26
9.8
CVSS
CRITICAL
CVE-2022-46996

vSphere_selfuse commit 2a9fe074a64f6a0dd8ac02f21e2f10d66cac5749 was discovered to contain a code execution backdoor via the request package. This vulnerability allows attackers to access sensitive user information and digital currency keys, as well as escalate privileges.

pub. 2022-12-14
9.8
CVSS
CRITICAL
CVE-2022-46997

Passhunt commit 54eb987d30ead2b8ebbf1f0b880aa14249323867 was discovered to contain a code execution backdoor via the request package. This vulnerability allows attackers to access sensitive user information and digital currency keys, as well as escalate privileges.

pub. 2022-12-14
9.8
CVSS
CRITICAL
CVE-2022-3203

On ORing net IAP-420(+) with FW version 2.0m a telnet server is enabled by default and cannot permanently be disabled. You can connect to the device via LAN or WiFi with hardcoded credentials and get an administrative shell. These credentials are reset to defaults with every reboot.

pub. 2022-10-21
9.8
CVSS
CRITICAL
CVE-2021-24867

Numerous Plugins and Themes from the AccessPress Themes (aka Access Keys) vendor are backdoored due to their website being compromised. Only plugins and themes downloaded via the vendor website are affected, and those hosted on wordpress.org are not. However, all of them were updated or removed to avoid any confusion

pub. 2022-02-21
9.8
CVSS
CRITICAL
CVE-2021-43987

An additional, nondocumented administrative account exists in mySCADA myPRO Versions 8.20.0 and prior that is not exposed through the web interface, which cannot be deleted or changed through the regular web interface.

pub. 2021-12-23
9.8
CVSS
CRITICAL
CVE-2020-12504

Improper Authorization vulnerability of Pepperl+Fuchs P+F Comtrol RocketLinx ES7510-XT, ES8509-XT, ES8510-XT, ES9528-XTv2, ES7506, ES7510, ES7528, ES8508, ES8508F, ES8510, ES8510-XTE, ES9528/ES9528-XT (all versions) and ICRL-M-8RJ45/4SFP-G-DIN, ICRL-M-16RJ45/4CP-G-DIN FW 1.2.3 and below has an active TFTP-Service.

pub. 2020-10-15
9.8
CVSS
CRITICAL
CVE-2020-16204

The affected product is vulnerable due to an undocumented interface found on the device, which may allow an attacker to execute commands as root on the device on the N-Tron 702-W / 702M12-W (all versions).

pub. 2020-09-01
9.5
CVSS
CRITICAL
CVE-2025-11544

Podatność w projektorach Sharp Display Solutions umożliwia atakującemu tworzenie i uruchamianie nieautoryzowanego oprogramowania układowego (firmware). Jest to krytyczna luka, ponieważ przejęcie kontroli nad firmware pozwala na trwałe i głęboko ukryte skompromitowanie urządzenia.

pub. 2025-12-22
9.4
CVSS
CRITICAL
CVE-2020-14487

OpenClinic GA 5.09.02 contains a hidden default user account that may be accessed if an administrator has not expressly turned off this account, which may allow an attacker to login and execute arbitrary commands.

pub. 2020-07-29
9.3
CVSS
CRITICAL
CVE-2010-20103

W oficjalnym archiwum źródłowym ProFTPD 1.3.3c dystrybuowanym między 28 listopada a 2 grudnia 2010 roku osadzono złośliwy backdoor. Umożliwia on zdalnym, nieuwierzytelnionym atakującym wykonanie dowolnych poleceń systemowych z uprawnieniami root.

pub. 2025-08-20
Pokazano 20 z 79 podatności
Informacje
ID: CWE-912
Typ: Class
Podatności: 79
MITRE CWE ↗
← Słownik CWE