CVEbaza.plSłownik CWECWE-914
Common Weakness Enumeration

CWE-914

Improper Control of Dynamically-Identified Variables

Kategoria: BaseCVE: 8
Opis

Produkt nie ogranicza prawidłowo odczytu lub zapisu do dynamicznie identyfikowanych zmiennych. Może to prowadzić do nieautoryzowanego dostępu lub modyfikacji wrażliwych danych.

Description (EN)

The product does not properly restrict reading from or writing to dynamically-identified variables.

Podatności CVE z CWE-914 (8)
10.0
CVSS
CRITICAL
CVE-2026-44006

Biblioteka vm2 — sandbox dla Node.js — w wersjach przed 3.11.0 umożliwia atakującemu wydostanie się z izolowanego środowiska wykonania kodu poprzez uzyskanie dostępu do dowolnych prototypów JavaScript. Ze względu na maksymalny wynik CVSS (10.0) podatność stanowi krytyczne zagrożenie dla aplikacji korzystających z vm2 do izolacji niezaufanego kodu.

pub. 2026-05-13
9.1
CVSS
CRITICAL
CVE-2023-33175

ToUI is a Python package for creating user interfaces (websites and desktop apps) from HTML. ToUI is using Flask-Caching (SimpleCache) to store user variables. Websites that use `Website.user_vars` property. It affects versions 2.0.1 to 2.4.0. This issue has been patched in version 2.4.1.

pub. 2023-05-30
8.5
CVSS
HIGH
CVE-2024-54198

In certain conditions, SAP NetWeaver Application Server ABAP allows an authenticated attacker to craft a Remote Function Call (RFC) request to restricted destinations, which can be used to expose credentials for a remote service. These credentials can then be further exploited to completely compromise the remote service, potentially resulting in a significant impact on the confidentiality, integrity, and availability of the application.

pub. 2024-12-10
8.0
CVSS
HIGH
CVE-2024-24914

Authenticated Gaia users can inject code or commands by global variables through special HTTP requests. A Security fix that mitigates this vulnerability is available.

pub. 2024-11-07
7.9
CVSS
HIGH
CVE-2026-34444

Lupa integrates the runtimes of Lua or LuaJIT2 into CPython. In 2.6 and earlier, attribute_filter is not consistently applied when attributes are accessed through built-in functions like getattr and setattr. This allows an attacker to bypass the intended restrictions and eventually achieve arbitrary code execution.

pub. 2026-04-06
6.5
CVSS
MEDIUM
CVE-2026-35173

Chyrp Lite is an ultra-lightweight blogging engine. Prior to 2026.01, an IDOR / Mass Assignment issue exists in the Post model that allows authenticated users with post editing permissions (Edit Post, Edit Draft, Edit Own Post, Edit Own Draft) to modify posts they do not own and do not have permission to edit. By passing internal class properties such as id into the post_attributes payload, an attacker can alter the object being instantiated. As a result, further actions are performed on another user’s post rather than the attacker’s own post, effectively enabling post takeover. This vulnerability is fixed in 2026.01.

pub. 2026-04-06
2.1
CVSS
LOW
CVE-2025-14085

W youlaitech youlai-mall w wersjach 1.0.0/2.0.0 odkryto podatność dotyczącą nieznanej funkcji pliku /app-api/v1/orders/. Manipulacja parametrem orderId prowadzi do improper control of dynamically-identified variables. Atak może być przeprowadzony zdalnie, a exploit został ujawniony publicznie. Producent został poinformowany o podatności, ale nie odpowiedział.

pub. 2025-12-05
2.1
CVSS
LOW
CVE-2025-14051

W youlaitech youlai-mall 1.0.0/2.0.0 znaleziono lukę bezpieczeństwa w funkcjach getById/updateAddress/deleteAddress w pliku /mall-ums/app-api/v1/addresses/. Manipulacja może prowadzić do niewłaściwej kontroli dynamicznie identyfikowanych zmiennych. Atak może być wykonany zdalnie. Exploit został opublikowany i jest dostępny do użytku. Producent został powiadomiony wcześnie, ale nie udzielił odpowiedzi.

pub. 2025-12-04
Informacje
ID: CWE-914
Typ: Base
Podatności: 8
MITRE CWE ↗
← Słownik CWE
CWE-914 — Niewłaściwa kontrola dynamicznie identyfikowanych zmiennych | Słownik CWE | CVEbaza.pl