CVEbaza.plSłownik CWECWE-250
Common Weakness Enumeration

CWE-250

Execution with Unnecessary Privileges

Kategoria: BaseCVE: 333
Opis

Produkt wykonuje operację na poziomie uprawnień wyższym niż minimalnie wymagany, co tworzy nowe luki w zabezpieczeniach lub potęguje konsekwencje innych luk. Praktyka ta może prowadzić do eskalacji uprawnień i zwiększenia potencjalnego zagrożenia w przypadku kompromitacji systemu.

Description (EN)

The product performs an operation at a privilege level that is higher than the minimum level required, which creates new weaknesses or amplifies the consequences of other weaknesses.

Podatności CVE z CWE-250 (333)
10.0
CVSS
CRITICAL
CVE-2026-4606

GV Edge Recording Manager (ERM) v2.3.1 nieprawidłowo uruchamia komponenty aplikacji z uprawnieniami SYSTEM, co pozwala każdemu lokalnemu użytkownikowi przejąć pełną kontrolę nad systemem operacyjnym. Podatność klasyfikowana jest jako KRYTYCZNA z maksymalnym wynikiem CVSS 10.0.

pub. 2026-03-23
10.0
CVSS
CRITICAL
CVE-2022-2634

An attacker may be able to execute malicious actions due to the lack of device access protections and device permissions when using the web application. This could lead to uploading python files which can be later executed.

pub. 2022-08-10
10.0
CVSS
CRITICAL
CVE-2022-1517

LRM utilizes elevated privileges. An unauthenticated malicious actor can upload and execute code remotely at the operating system level, which can allow an attacker to change settings, configurations, software, or access sensitive data on the affected produc. An attacker could also exploit this vulnerability to access APIs not intended for general use and interact through the network.

pub. 2022-06-24
9.9
CVSS
CRITICAL
CVE-2026-48584

Execution with unnecessary privileges in Azure Synapse allows an authorized attacker to elevate privileges over a network.

pub. 2026-06-19
9.9
CVSS
CRITICAL
CVE-2026-50566

Podatność w Fission (framework serverless dla Kubernetes) przed wersją 1.24.0 pozwala najemcy (tenant) z uprawnieniami RBAC do tworzenia/aktualizowania środowisk na uruchomienie uprzywilejowanych kontenerów w przestrzeni nazw funkcji lub buildera. Stanowi to krytyczne zagrożenie, gdyż umożliwia ucieczkę z sandbox kontenera oraz kompromitację węzłów i całego klastra Kubernetes.

pub. 2026-06-10
9.9
CVSS
CRITICAL
CVE-2026-25212

Podatność w Percona Monitoring and Management (PMM) przed wersją 3.7 umożliwia uwierzytelnionemu atakującemu posiadającemu uprawnienia pmm-admin wykonanie dowolnych poleceń powłoki na serwerze. Jest ona krytyczna, ponieważ pozwala na wyjście poza kontekst bazy danych i przejęcie kontroli nad systemem operacyjnym.

pub. 2026-04-02
9.9
CVSS
CRITICAL
CVE-2025-32445

Podatność w Argo Events pozwala użytkownikowi z uprawnieniami do tworzenia lub modyfikowania zasobów EventSource i Sensor na uzyskanie uprzywilejowanego dostępu do hosta klastra Kubernetes. Zagrożenie jest krytyczne, ponieważ eskalacja uprawnień możliwa jest bez posiadania bezpośrednich uprawnień administracyjnych.

pub. 2025-04-15
9.9
CVSS
CRITICAL
CVE-2024-8767

Podatność w pluginach Acronis Backup dla paneli cPanel & WHM, Plesk oraz DirectAdmin (Linux) polega na przyznaniu zbędnych uprawnień procesom, co prowadzi do ujawnienia wrażliwych danych i możliwości ich manipulacji. Wysoki wynik CVSS 9.9 wskazuje na krytyczne zagrożenie dla serwerów hostingowych z zainstalowanymi rozszerzeniami.

pub. 2024-09-17
9.9
CVSS
CRITICAL
CVE-2024-3330

Krytyczna podatność w produktach z rodziny TIBCO Spotfire umożliwia zdalne wykonanie dowolnego kodu (RCE) w kilku scenariuszach użytkowania. Ocena CVSS 9.9 wskazuje na bardzo wysokie ryzyko dla organizacji korzystających z dotkniętych wersji.

pub. 2024-06-27
9.8
CVSS
CRITICAL
CVE-2026-34877

Podatność w bibliotece Mbed TLS umożliwia atakującemu wykonanie dowolnego kodu (RCE) poprzez modyfikację serializowanych struktur kontekstu lub sesji SSL. Krytyczny poziom zagrożenia wynika z braku uwierzytelnienia wymaganego do przeprowadzenia ataku oraz możliwości przejęcia pełnej kontroli nad podatnym systemem.

pub. 2026-04-02
9.8
CVSS
CRITICAL
CVE-2025-13375

IBM Common Cryptographic Architecture (CCA) w wersjach 7.5.52 oraz 8.4.82 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń z podwyższonymi uprawnieniami. Zagrożenie jest szczególnie poważne ze względu na brak wymogu uwierzytelnienia oraz pełny wpływ na poufność, integralność i dostępność systemu.

pub. 2026-02-04
9.8
CVSS
CRITICAL
CVE-2025-33223

NVIDIA Isaac Launchable zawiera podatność umożliwiającą wykonanie procesu z niepotrzebnymi (nadmiernymi) uprawnieniami. Skuteczne wykorzystanie luki może prowadzić do wykonania kodu, eskalacji uprawnień, odmowy usługi, ujawnienia informacji oraz manipulacji danymi.

pub. 2025-12-23
9.8
CVSS
CRITICAL
CVE-2025-33224

NVIDIA Isaac Launchable zawiera podatność polegającą na wykonywaniu operacji z niepotrzebnymi (nadmiernymi) uprawnieniami. Luka jest krytyczna — nieuwierzytelniony atakujący może ją wykorzystać zdalnie bez interakcji użytkownika.

pub. 2025-12-23
9.8
CVSS
CRITICAL
CVE-2025-57119

Podatność w systemie Online Library Management System v.3.0 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień poprzez komponent adminlogin.php. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z faktu, że exploit nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-09-16
9.8
CVSS
CRITICAL
CVE-2024-27143

Drukarki Toshiba wykorzystują protokół SNMP do konfiguracji, a poprzez użycie prywatnej społeczności SNMP możliwe jest zdalne wykonanie poleceń z uprawnieniami root. Podatność umożliwia pełne przejęcie kontroli nad urządzeniem bez uwierzytelnienia.

pub. 2024-06-14
9.8
CVSS
CRITICAL
CVE-2024-25421

Podatność w Ignite Realtime Openfire w wersji 4.9.0 i wcześniejszych umożliwia zdalnemu atakującemu eskalację uprawnień (privilege escalation) za pośrednictwem komponentu ROOM_CACHE. Wysokie oceny CVSS (9.8) i brak wymagań dotyczących uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

pub. 2024-03-26
9.8
CVSS
CRITICAL
CVE-2023-52030

W oprogramowaniu routera Totolink A3700R wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Podatność jest krytyczna, ponieważ atakujący z sieci może przejąć pełną kontrolę nad urządzeniem bez żadnych wymagań wstępnych.

pub. 2024-01-11
9.8
CVSS
CRITICAL
CVE-2023-4662

Execution with Unnecessary Privileges vulnerability in Saphira Saphira Connect allows Remote Code Inclusion. This issue affects Saphira Connect: before 9.

pub. 2023-09-15
9.8
CVSS
CRITICAL
CVE-2022-44544

Mahara 21.04 before 21.04.7, 21.10 before 21.10.5, 22.04 before 22.04.3, and 22.10 before 22.10.0 potentially allow a PDF export to trigger a remote shell if the site is running on Ubuntu and the flag -dSAFER is not set with Ghostscript.

pub. 2022-11-06
9.8
CVSS
CRITICAL
CVE-2021-41035

In Eclipse Openj9 before version 0.29.0, the JVM does not throw IllegalAccessError for MethodHandles that invoke inaccessible interface methods.

pub. 2021-10-25
Pokazano 20 z 333 podatności
Informacje
ID: CWE-250
Typ: Base
Podatności: 333
MITRE CWE ↗
← Słownik CWE
CWE-250 — Wykonanie z Niepotrzebnie Wysokimi Uprawnieniami | Słownik CWE | CVEbaza.pl