CVEbaza.plSłownik CWECWE-1284
Common Weakness Enumeration

CWE-1284

Improper Validation of Specified Quantity in Input

Kategoria: BaseCVE: 385
Opis

Produkt otrzymuje dane wejściowe zawierające ilość (taką jak rozmiar lub długość), ale nie weryfikuje lub nieprawidłowo weryfikuje, czy ilość posiada wymagane właściwości. Brak odpowiedniej walidacji może prowadzić do nieoczekiwanego zachowania systemu lub luk bezpieczeństwa.

Description (EN)

The product receives input that is expected to specify a quantity (such as size or length), but it does not validate or incorrectly validates that the quantity has the required properties.

Podatności CVE z CWE-1284 (385)
10.0
CVSS
CRITICAL
CVE-2026-49777

Podatność w wtyczce Product Slider Pro for WooCommerce pozwala na implantację złośliwego oprogramowania (backdoor) z powodu nieprawidłowej walidacji danych wejściowych. Ocena CVSS 10.0 oznacza maksymalne ryzyko — atakujący nieuwierzytelniony może przejąć pełną kontrolę nad systemem.

pub. 2026-06-05
10.0
CVSS
CRITICAL
CVE-2024-8887

Podatność w oprogramowaniu Circutor Q-SMT (wersja firmware 1.0.4) pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia na stronie logowania do interfejsu webowego. W efekcie nieautoryzowany użytkownik uzyskuje pełny dostęp do funkcji webowych urządzenia, co może prowadzić do ataku typu DoS.

pub. 2024-09-18
10.0
CVSS
CRITICAL
CVE-2022-20699

Multiple vulnerabilities in Cisco Small Business RV160, RV260, RV340, and RV345 Series Routers could allow an attacker to do any of the following: Execute arbitrary code Elevate privileges Execute arbitrary commands Bypass authentication and authorization protections Fetch and run unsigned software Cause denial of service (DoS) For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2022-02-10🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2021-21960

A stack-based buffer overflow vulnerability exists in both the LLMNR functionality of Sealevel Systems, Inc. SeaConnect 370W v1.3.34. A specially-crafted network packet can lead to remote code execution. An attacker can send a malicious packet to trigger this vulnerability.

pub. 2022-02-04
10.0
CVSS
CRITICAL
CVE-2021-21950

An out-of-bounds write vulnerability exists in the CMD_DEVICE_GET_SERVER_LIST_REQUEST functionality of the home_security binary of Anker Eufy Homebase 2 2.1.6.9h in function recv_server_device_response_msg_process. A specially-crafted network packet can lead to code execution.

pub. 2021-12-08
10.0
CVSS
CRITICAL
CVE-2021-21951

An out-of-bounds write vulnerability exists in the CMD_DEVICE_GET_SERVER_LIST_REQUEST functionality of the home_security binary of Anker Eufy Homebase 2 2.1.6.9h in function read_udp_push_config_file. A specially-crafted network packet can lead to code execution.

pub. 2021-12-08
9.9
CVSS
CRITICAL
CVE-2026-25345

Plugin SimpLy Gallery (simply-gallery-block) dla WordPress w wersji do 3.3.2 zawiera krytyczną podatność wynikającą z nieprawidłowej walidacji ilości danych wejściowych, umożliwiającą nieuprawnione wykonanie kodu. Zagrożenie jest szczególnie poważne ze względu na wysoki wynik CVSS 9.9 i możliwość eskalacji uprawnień poza kontekst aplikacji.

pub. 2026-03-25
9.8
CVSS
CRITICAL
CVE-2026-3381

Moduł Compress::Raw::Zlib dla Perl w wersjach do 2.219 zawiera wbudowaną kopię potencjalnie niebezpiecznej wersji biblioteki zlib. Podatność jest krytyczna ze względu na wysoki wynik CVSS 9.8 i możliwość zdalnego wykorzystania bez uwierzytelnienia.

pub. 2026-03-05
9.8
CVSS
CRITICAL
CVE-2025-55398

Podatność w forku biblioteki asn1c (mouse07410) powoduje, że wygenerowane dekodery UPER nie egzekwują ograniczeń typu INTEGER, gdy górna granica jest dodatnia i przekracza 32 bity. Może to prowadzić do przetwarzania nieprawidłowych lub złośliwych danych wejściowych w aplikacjach opartych na tej bibliotece.

pub. 2025-08-22
9.8
CVSS
CRITICAL
CVE-2022-25727

Memory Corruption in modem due to improper length check while copying into memory in Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Voice & Music

pub. 2022-11-15
9.8
CVSS
CRITICAL
CVE-2022-36938

DexLoader function get_stringidx_fromdex() in Redex prior to commit 3b44c64 can load an out of bound address when loading the string index table, potentially allowing remote code execution during processing of a 3rd party Android APK file.

pub. 2022-11-11
9.8
CVSS
CRITICAL
CVE-2022-20385

a function called 'nla_parse', do not check the len of para, it will check nla_type (which can be controlled by userspace) with 'maxtype' (in this case, it is GSCAN_MAX), then it access polciy array 'policy[type]', which OOB access happens.Product: AndroidVersions: Android SoCAndroid ID: A-238379819

pub. 2022-09-13
9.8
CVSS
CRITICAL
CVE-2022-37134

D-link DIR-816 A2_v1.10CNB04.img is vulnerable to Buffer Overflow via /goform/form2Wan.cgi. When wantype is 3, l2tp_usrname will be decrypted by base64, and the result will be stored in v94, which does not check the size of l2tp_usrname, resulting in stack overflow.

pub. 2022-08-22
9.8
CVSS
CRITICAL
CVE-2021-43267

An issue was discovered in net/tipc/crypto.c in the Linux kernel before 5.14.16. The Transparent Inter-Process Communication (TIPC) functionality allows remote attackers to exploit insufficient validation of user-supplied sizes for the MSG_CRYPTO message type.

pub. 2021-11-02
9.8
CVSS
CRITICAL
CVE-2021-31556

An issue was discovered in the Oauth extension for MediaWiki through 1.35.2. MWOAuthConsumerSubmitControl.php does not ensure that the length of an RSA key will fit in a MySQL blob.

pub. 2021-08-12
9.8
CVSS
CRITICAL
CVE-2009-4488

Varnish 2.0.6 writes data to a log file without sanitizing non-printable characters, which might allow remote attackers to modify a window's title, or possibly execute arbitrary commands or overwrite files, via an HTTP request containing an escape sequence for a terminal emulator. NOTE: the vendor disputes the significance of this report, stating that "This is not a security problem in Varnish or any other piece of software which writes a logfile. The real problem is the mistaken belief that you can cat(1) a random logfile to your terminal safely.

pub. 2010-01-13
9.8
CVSS
CRITICAL
CVE-2008-2374

src/sdp.c in bluez-libs 3.30 in BlueZ, and other bluez-libs before 3.34 and bluez-utils before 3.34 versions, does not validate string length fields in SDP packets, which allows remote SDP servers to cause a denial of service or possibly have unspecified other impact via a crafted length field that triggers excessive memory allocation or a buffer over-read.

pub. 2008-07-07
9.6
CVSS
CRITICAL
CVE-2026-33471

Podatność w bibliotece nimiq-block pozwala złośliwemu walidatorowi na sfałszowanie dowodu pominięcia bloku (skip block proof) bez posiadania wymaganej liczby głosów kworum. Atakujący dysponujący znacznie mniejszą liczbą rzeczywistych slotów podpisujących może ominąć mechanizm konsensusu, co zagraża integralności i dostępności sieci blockchain.

pub. 2026-04-22
9.6
CVSS
CRITICAL
CVE-2024-9369

Podatność w komponencie Mojo przeglądarki Google Chrome umożliwia zdalny zapis poza granicami pamięci (out of bounds memory write) przez atakującego, który wcześniej przejął kontrolę nad procesem renderowania. Ze względu na wysoki wpływ na poufność, integralność i dostępność podatność oceniono jako krytyczną (CVSS 9.6).

pub. 2024-11-27
9.1
CVSS
CRITICAL
CVE-2025-65548

Cashu Nutshell przed wersją 0.18.0 nie waliduje rozmiaru pola preimage podczas realizacji tokenu, co pozwala atakującemu na wypełnienie bazy danych i dysku minta dowolnymi danymi. Podatność jest dostępna zdalnie bez uwierzytelnienia, co czyni ją szczególnie groźną dla operatorów węzłów Cashu.

pub. 2025-12-08
Pokazano 20 z 385 podatności
Informacje
ID: CWE-1284
Typ: Base
Podatności: 385
MITRE CWE ↗
← Słownik CWE
CWE-1284 — Nieprawidłowa Walidacja Określonej Ilości na Wejściu | Słownik CWE | CVEbaza.pl