CVEbaza.plSłownik CWECWE-915
Common Weakness Enumeration

CWE-915

Improperly Controlled Modification of Dynamically-Determined Object Attributes

Kategoria: BaseCVE: 124
Opis

Produkt otrzymuje dane wejściowe z komponentu nadrzędnego, które określają wiele atrybutów, właściwości lub pól, które mają być zainicjalizowane lub zaktualizowane w obiekcie, jednak nie kontroluje prawidłowo, które atrybuty mogą być modyfikowane. Może to prowadzić do nieautoryzowanej zmiany krytycznych parametrów obiektu przez użytkownika.

Description (EN)

The product receives input from an upstream component that specifies multiple attributes, properties, or fields that are to be initialized or updated in an object, but it does not properly control which attributes can be modified.

Podatności CVE z CWE-915 (124)
10.0
CVSS
CRITICAL
CVE-2026-50160

Hoppscotch is an API development ecosystem. In self-hosted deployments of hoppscotch-backend from version 2026.4.1 and earlier, the unauthenticated POST /v1/onboarding/config endpoint is vulnerable to mass assignment. The global NestJS ValidationPipe is configured without whitelist: true, so extra properties on the request body that are not declared in SaveOnboardingConfigRequest are not stripped and are iterated in the service layer as if they were legitimate InfraConfig entries. Because keys such as JWT_SECRET and SESSION_SECRET are valid InfraConfigEnum values and are not explicitly rejected during validation, an unauthenticated attacker who can reach a fresh instance before onboarding completes (or when no users exist) can overwrite these values in the database. Overwriting JWT_SECRET gives the attacker control of the JWT signing key, allowing them to forge tokens for any user, including administrators, and results in full server compromise. The issue is fixed in hoppscotch 2026.5.0.

pub. 2026-07-01
10.0
CVSS
CRITICAL
CVE-2026-33453

Komponent camel-coap w Apache Camel przepuszcza parametry zapytania URI z przychodzących pakietów CoAP bezpośrednio do nagłówków wiadomości Camel bez żadnego filtrowania, co umożliwia zdalne wykonanie kodu. Nieuierzytelniony atakujący może wysłać pojedynczy pakiet UDP i przejąć pełną kontrolę nad procesem Camel.

pub. 2026-04-27
10.0
CVSS
CRITICAL
CVE-2026-34208

Biblioteka SandboxJS przed wersją 0.8.36 pozwala atakującemu na ominięcie mechanizmu izolacji sandbox poprzez nadużycie ścieżki konstruktora. Podatność umożliwia trwałą modyfikację globalnych obiektów hosta, co prowadzi do naruszenia izolacji między instancjami sandbox w tym samym procesie.

pub. 2026-04-06
10.0
CVSS
CRITICAL
CVE-2025-58367

Biblioteka Python DeepDiff w wersjach 5.0.0–8.6.0 jest podatna na class pollution za pośrednictwem konstruktora klasy Delta, co w połączeniu z gadżetem dostępnym w DeltaDiff może prowadzić do wykonania dowolnego kodu (RCE) oraz ataku odmowy usługi (DoS). Podatność otrzymała maksymalny wynik CVSS 10.0 i nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-09-05
9.9
CVSS
CRITICAL
CVE-2026-56142

In JetBrains Hub before 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430, 2024.2.148429 privilege escalation by attaching authentication details to accounts was possible

pub. 2026-06-19
9.9
CVSS
CRITICAL
CVE-2025-69691

Podatność w Netgate pfSense CE 2.8.0 umożliwia wykonanie dowolnego kodu PHP za pośrednictwem wywołania pfsense.exec_php w interfejsie XMLRPC API. Producent kwestionuje klasyfikację jako podatność, wskazując że dostęp do tego API jest celowo ograniczony wyłącznie do administratorów.

pub. 2026-05-08
9.9
CVSS
CRITICAL
CVE-2026-27591

Uwierzytelnieni użytkownicy backendu Winter CMS mogli podwyższyć swój poziom dostępu do systemu poprzez spreparowane żądania modyfikujące przypisane role i uprawnienia. Podatność jest krytyczna, ponieważ każdy użytkownik z jakimkolwiek dostępem do panelu administracyjnego mógł uzyskać pełną kontrolę nad systemem.

pub. 2026-03-11
9.8
CVSS
CRITICAL
CVE-2024-55636

Podatność w Drupal Core polega na deserializacji niezaufanych danych (CWE-502) i możliwości wstrzyknięcia obiektów (Object Injection). W połączeniu z inną podatnością na insecure deserialization obecną w aplikacji, może prowadzić do zdalnego wykonania kodu (RCE).

pub. 2024-12-10
9.8
CVSS
CRITICAL
CVE-2024-55637

Podatność w Drupal Core polega na deserializacji niezaufanych danych, co umożliwia Object Injection. W połączeniu z inną podatnością na niebezpieczną deserializację na tej samej stronie może prowadzić do zdalnego wykonania kodu (RCE).

pub. 2024-12-10
9.8
CVSS
CRITICAL
CVE-2024-55638

Drupal Core zawiera podatność polegającą na deserializacji niezaufanych danych (CWE-502), która może prowadzić do zdalnego wykonania kodu (RCE). Podatność jest oceniana jako krytyczna (CVSS 9.8), ponieważ w połączeniu z inną luką umożliwia atakującemu pełne przejęcie kontroli nad serwerem.

pub. 2024-12-10
9.8
CVSS
CRITICAL
CVE-2024-5452

Biblioteka lightning-ai/pytorch-lightning w wersji 2.2.1 jest podatna na zdalne wykonanie kodu (RCE) z powodu nieprawidłowej obsługi deserializowanych danych wejściowych. Atakujący bez żadnego uwierzytelnienia może przejąć pełną kontrolę nad aplikacją hostowaną samodzielnie.

pub. 2024-06-06
9.6
CVSS
CRITICAL
CVE-2026-22783

Podatność w systemie zarządzania plikami platformy DFIR-IRIS Iris umożliwia uwierzytelnionym użytkownikom usunięcie dowolnych plików na serwerze. Zagrożenie jest poważne ze względu na możliwość destrukcji danych i zakłócenia ciągłości działania systemu bez potrzeby posiadania uprawnień administracyjnych.

pub. 2026-01-12
9.4
CVSS
CRITICAL
CVE-2026-45058

W kliencie terminalowym electerm w wersji 3.8.8 i wcześniejszych możliwe jest trwałe wykonanie dowolnego kodu (RCE) poprzez zaimportowanie złośliwego pliku JSON z zakładkami lub poprzez skompromitowany cel synchronizacji (gist/WebDAV). Podatność jest krytyczna, ponieważ nie wymaga uprawnień atakującego, a jej skutki obejmują pełne przejęcie środowiska lokalnego i systemowego.

pub. 2026-05-28
9.4
CVSS
CRITICAL
CVE-2026-34406

W systemie APTRS (Automated Penetration Testing Reporting System) w wersji przed 2.0.1 każdy uwierzytelniony użytkownik mający dostęp do endpointu edycji konta mógł nadać sobie (lub innemu kontu) uprawnienia superusera. Jest to krytyczna luka privilege escalation umożliwiająca przejęcie pełnej kontroli nad aplikacją.

pub. 2026-03-31
9.4
CVSS
CRITICAL
CVE-2026-25521

W bibliotece Locutus (wersje 2.0.12 – 2.0.38) istnieje podatność typu prototype pollution, która pozwala atakującemu na manipulację globalnym obiektem Object.prototype. Jest ona szczególnie niebezpieczna, ponieważ omija wcześniej wdrożoną naprawę, korzystając z obejścia przez String.prototype.

pub. 2026-02-04
9.4
CVSS
CRITICAL
CVE-2025-2304

W systemie Camaleon CMS istnieje podatność umożliwiająca nieautoryzowane podniesienie uprawnień (privilege escalation) poprzez atak typu Mass Assignment. Zagrożenie jest krytyczne, ponieważ zalogowany użytkownik może zmodyfikować parametry, do których nie powinien mieć dostępu.

pub. 2025-03-14
9.3
CVSS
CRITICAL
CVE-2025-24370

Django-Unicorn, biblioteka dodająca reaktywne komponenty do szablonów Django, jest podatna na atak typu Python class pollution. Luka pozwala nieuwierzytelnionemu atakującemu na zdalne wprowadzanie dowolnych zmian w środowisku uruchomieniowym Python, prowadząc do co najmniej pięciu udokumentowanych wektorów eksploatacji.

pub. 2025-02-03
9.1
CVSS
CRITICAL
CVE-2025-69690

Podatność w Netgate pfSense CE 2.7.2 umożliwia wykonanie dowolnego kodu poprzez przesłanie pliku kopii zapasowej zawierającego zserializowany obiekt PHP z właściwością post_reboot_commands. Pomimo oceny CRITICAL, dostawca kwestionuje tę podatność, wskazując że instalator modułów jest dostępny wyłącznie dla administratorów, którym wykonywanie kodu PHP jest celowo dozwolone.

pub. 2026-05-08
9.1
CVSS
CRITICAL
CVE-2026-34179

W wersjach 4.12–6.7 Canonical LXD funkcja doCertificateUpdate nie weryfikuje pola Type przy obsłudze żądań PUT/PATCH do endpointu /1.0/certificates/{fingerprint}. Pozwala to uwierzytelnionemu zdalnemu atakującemu z ograniczonymi uprawnieniami certyfikatu TLS na eskalację uprawnień do roli administratora klastra.

pub. 2026-04-09
9.1
CVSS
CRITICAL
CVE-2025-68109

W wersjach ChurchCRM wcześniejszych niż 6.5.3 funkcja przywracania bazy danych nie weryfikuje rozszerzenia ani zawartości przesyłanych plików. Pozwala to atakującemu na wgranie web shell i przejęcie pełnej kontroli nad serwerem poprzez zdalne wykonanie poleceń (RCE).

pub. 2025-12-17
Pokazano 20 z 124 podatności
Informacje
ID: CWE-915
Typ: Base
Podatności: 124
MITRE CWE ↗
← Słownik CWE
CWE-915 — Nieprawidłowa kontrola modyfikacji atrybutów obiektu określanych dynamicznie | Słownik CWE | CVEbaza.pl