CVEbaza.plSłownik CWECWE-269
Common Weakness Enumeration

CWE-269

Improper Privilege Management

Kategoria: ClassCVE: 3099
Opis

Produkt nie przypisuje prawidłowo, nie modyfikuje, nie śledzi ani nie weryfikuje uprawnień aktora, tworząc niezamierzoną sferę kontroli dla tego podmiotu. Może to prowadzić do nieautoryzowanego dostępu do zasobów lub wykonywania niezatwierdzonych operacji.

Description (EN)

The product does not properly assign, modify, track, or check privileges for an actor, creating an unintended sphere of control for that actor.

Podatności CVE z CWE-269 (3099)
10.0
CVSS
CRITICAL
CVE-2026-0063

In setAllowedCarriers of PhoneInterfaceManager.java, there is a possible way to disable carrier restrictions due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-32760

W aplikacji File Browser w wersjach 2.61.2 i wcześniejszych każdy nieuwierzytelniony użytkownik może samodzielnie zarejestrować konto z pełnymi uprawnieniami administratora, jeśli włączona jest opcja samorejestracji (signup = true) oraz domyślne uprawnienia zawierają perm.admin = true. Podatność umożliwia przejęcie pełnej kontroli nad serwerem przez dowolną osobę z dostępem do publicznego endpointu rejestracji.

pub. 2026-03-20
10.0
CVSS
CRITICAL
CVE-2026-31852

Workflow GitHub Actions o nazwie code-quality.yml w repozytorium jellyfin/jellyfin-ios umożliwia wykonanie dowolnego kodu poprzez pull requesty z forków zewnętrznych repozytoriów. Ze względu na niemal pełne uprawnienia zapisu workflow, podatność prowadzi do kompromitacji całej organizacji Jellyfin i łańcucha dostaw oprogramowania.

pub. 2026-03-11
10.0
CVSS
CRITICAL
CVE-2026-22238

Podatność w produkcie BLUVOYIX firmy Blusparkglobal polega na braku właściwego uwierzytelnienia w interfejsach API administratora, co umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad platformą. Ze względu na brak jakiejkolwiek weryfikacji tożsamości oraz możliwość uzyskania uprawnień administratora, podatność otrzymała maksymalną ocenę CVSS 10.0.

pub. 2026-01-14
10.0
CVSS
CRITICAL
CVE-2025-12424

Podatność umożliwia nieuprawnione podniesienie uprawnień (privilege escalation) poprzez nadużycie pliku binarnego z ustawionym bitem SUID w urządzeniach Azure-Access BLU-IC2 i BLU-IC4. Oceniona na najwyższy możliwy wynik CVSS 10.0, stanowi krytyczne zagrożenie dla bezpieczeństwa tych urządzeń.

pub. 2025-10-28
10.0
CVSS
CRITICAL
CVE-2025-12425

Podatność typu privilege escalation (CWE-269 — niewłaściwe zarządzanie uprawnieniami) w urządzeniach Azure-Access BLU-IC2 i BLU-IC4 umożliwia lokalnemu atakującemu podniesienie swoich uprawnień do poziomu wyższego niż powinien posiadać. Krytyczny wynik CVSS 10.0 wskazuje na pełny wpływ na poufność, integralność i dostępność zarówno samego urządzenia, jak i systemów z nim powiązanych.

pub. 2025-10-28
10.0
CVSS
CRITICAL
CVE-2025-20282

Krytyczna podatność w wewnętrznym API systemu Cisco Identity Services Engine (ISE) oraz Cisco ISE-PIC umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wgranie dowolnych plików na urządzenie i ich uruchomienie z uprawnieniami root. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie niebezpieczną.

pub. 2025-06-25
10.0
CVSS
CRITICAL
CVE-2025-0505

Podatność w mechanizmie Zero Touch Provisioning (ZTP) systemów Arista CloudVision (wdrożenia lokalne: wirtualne i fizyczne) umożliwia nieuwierzytelnionemu atakującemu uzyskanie uprawnień administratora. Krytyczny poziom zagrożenia wynika z braku wymagań dotyczących uwierzytelnienia, szerokiego zakresu przyznawanych uprawnień oraz możliwości manipulowania zarządzanymi urządzeniami sieciowymi.

pub. 2025-05-08
10.0
CVSS
CRITICAL
CVE-2023-48418

Podatność w funkcji checkDebuggingDisallowed pliku DeviceVersionFragment.java umożliwia dostęp do interfejsu ADB przed ukończeniem procesu wstępnej konfiguracji urządzenia (SUW). Wynika z niebezpiecznej wartości domyślnej i może prowadzić do lokalnej eskalacji uprawnień bez żadnych dodatkowych wymagań.

pub. 2024-01-02
10.0
CVSS
CRITICAL
CVE-2023-48419

Podatność w urządzeniach Google Home i Google Nest umożliwia atakującemu znajdującemu się w zasięgu sieci Wi-Fi ofiary podsłuchiwanie jej oraz uzyskanie wyższych uprawnień. Krytyczna ocena CVSS 10.0 wynika z pełnego dostępu sieciowego bez konieczności uwierzytelnienia i jakiejkolwiek interakcji ze strony użytkownika.

pub. 2024-01-02
10.0
CVSS
CRITICAL
CVE-2023-31273

Protection mechanism failure in some Intel DCM software before version 5.2 may allow an unauthenticated user to potentially enable escalation of privilege via network access.

pub. 2023-11-14
10.0
CVSS
CRITICAL
CVE-2022-1517

LRM utilizes elevated privileges. An unauthenticated malicious actor can upload and execute code remotely at the operating system level, which can allow an attacker to change settings, configurations, software, or access sensitive data on the affected produc. An attacker could also exploit this vulnerability to access APIs not intended for general use and interact through the network.

pub. 2022-06-24
10.0
CVSS
CRITICAL
CVE-2022-24783

Deno is a runtime for JavaScript and TypeScript. The versions of Deno between release 1.18.0 and 1.20.2 (inclusive) are vulnerable to an attack where a malicious actor controlling the code executed in a Deno runtime could bypass all permission checks and execute arbitrary shell code. This vulnerability does not affect users of Deno Deploy. The vulnerability has been patched in Deno 1.20.3. There is no workaround. All users are recommended to upgrade to 1.20.3 immediately.

pub. 2022-03-25
10.0
CVSS
CRITICAL
CVE-2021-39167

OpenZepplin is a library for smart contract development. In affected versions a vulnerability in TimelockController allowed an actor with the executor role to escalate privileges. Further details about the vulnerability will be disclosed at a later date. As a workaround revoke the executor role from accounts not strictly under the team's control. We recommend revoking all executors that are not also proposers. When applying this mitigation, ensure there is at least one proposer and executor remaining.

pub. 2021-08-27
10.0
CVSS
CRITICAL
CVE-2021-39168

OpenZepplin is a library for smart contract development. In affected versions a vulnerability in TimelockController allowed an actor with the executor role to escalate privileges. Further details about the vulnerability will be disclosed at a later date. As a workaround revoke the executor role from accounts not strictly under the team's control. We recommend revoking all executors that are not also proposers. When applying this mitigation, ensure there is at least one proposer and executor remaining.

pub. 2021-08-27
10.0
CVSS
CRITICAL
CVE-2021-1388

A vulnerability in an API endpoint of Cisco ACI Multi-Site Orchestrator (MSO) installed on the Application Services Engine could allow an unauthenticated, remote attacker to bypass authentication on an affected device. The vulnerability is due to improper token validation on a specific API endpoint. An attacker could exploit this vulnerability by sending a crafted request to the affected API. A successful exploit could allow the attacker to receive a token with administrator-level privileges that could be used to authenticate to the API on affected MSO and managed Cisco Application Policy Infrastructure Controller (APIC) devices.

pub. 2021-02-24
10.0
CVSS
CRITICAL
CVE-2020-36155

An issue was discovered in the Ultimate Member plugin before 2.1.12 for WordPress, aka Unauthenticated Privilege Escalation via User Meta. An attacker could supply an array parameter for sensitive metadata, such as the wp_capabilities user meta that defines a user's role. During the registration process, submitted registration details were passed to the update_profile function, and any metadata was accepted, e.g., wp_capabilities[administrator] for Administrator access.

pub. 2021-01-04
10.0
CVSS
CRITICAL
CVE-2018-4310

An access issue was addressed with additional sandbox restrictions. This issue affected versions prior to iOS 12, macOS Mojave 10.14.

pub. 2019-04-03
9.9
CVSS
CRITICAL
CVE-2026-46852

Vulnerability in the Oracle Enterprise Manager Base Platform product of Oracle Enterprise Manager (component: Metadata Plugin). Supported versions that are affected are 13.5 and 24.1. Easily exploitable vulnerability allows low privileged attacker with network access via HTTPS to compromise Oracle Enterprise Manager Base Platform. While the vulnerability is in Oracle Enterprise Manager Base Platform, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Enterprise Manager Base Platform. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

pub. 2026-06-17
9.9
CVSS
CRITICAL
CVE-2026-46893

Vulnerability in the JD Edwards EnterpriseOne General Ledger product of Oracle JD Edwards (component: E1 Foundation). The supported version that is affected is 9.2. Easily exploitable vulnerability allows low privileged attacker with network access via SMB to compromise JD Edwards EnterpriseOne General Ledger. While the vulnerability is in JD Edwards EnterpriseOne General Ledger, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of JD Edwards EnterpriseOne General Ledger. CVSS 3.1 Base Score 9.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).

pub. 2026-06-17
Pokazano 20 z 3099 podatności
Informacje
ID: CWE-269
Typ: Class
Podatności: 3099
MITRE CWE ↗
← Słownik CWE
CWE-269 — Niewłaściwe zarządzanie uprawnieniami | Słownik CWE | CVEbaza.pl