CVEbaza.plSłownik CWECWE-280
Common Weakness Enumeration

CWE-280

Improper Handling of Insufficient Permissions or Privileges

Kategoria: BaseCVE: 152
Opis

Produkt nie obsługuje lub nieprawidłowo obsługuje sytuację, w której brakuje mu wystarczających uprawnień dostępu do zasobów lub funkcjonalności określonych ich uprawnieniami. Może to spowodować, że produkt będzie podążać nieoczekiwanymi ścieżkami kodu, które mogą pozostawić produkt w nieprawidłowym stanie.

Description (EN)

The product does not handle or incorrectly handles when it has insufficient privileges to access resources or functionality as specified by their permissions. This may cause it to follow unexpected code paths that may leave the product in an invalid state.

Podatności CVE z CWE-280 (152)
9.9
CVSS
CRITICAL
CVE-2025-46066

Podatność w Automai Director w wersji 25.2.0 umożliwia zdalnemu atakującemu z podstawowymi uprawnieniami eskalację uprawnień do wyższego poziomu dostępu. Krytyczny wynik CVSS 9.9 wskazuje na możliwość przejęcia kontroli nad systemem oraz wpływ na poufność, integralność i dostępność zasobów poza bezpośrednim zakresem aplikacji.

pub. 2026-01-12
9.9
CVSS
CRITICAL
CVE-2024-25108

W platformie Pixelfed (wersje v0.10.4–v0.11.9) mechanizm autoryzacji był nieprawidłowo implementowany, co pozwalało atakującym na dostęp do funkcji administracyjnych i moderatorskich serwera. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może wpłynąć na federację serwera z innymi instancjami.

pub. 2024-02-12
9.8
CVSS
CRITICAL
CVE-2025-6573

Podatność w oprogramowaniu kernela działającym w niezaufanym środowisku wykonawczym (REE) umożliwia wyciek informacji z zaufanego środowiska wykonawczego (TEE). Ze względu na wysoki wynik CVSS 9.8 i brak wymagań uwierzytelnienia, podatność stanowi poważne zagrożenie dla poufności danych.

pub. 2025-08-09
9.8
CVSS
CRITICAL
CVE-2024-24116

Podatność w oprogramowaniu Ruijie RG-NBS2009G-P RGOS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom CVSS 9.8 wynika z braku wymagań uwierzytelnienia i możliwości pełnej kompromitacji urządzenia.

pub. 2024-10-02
9.8
CVSS
CRITICAL
CVE-2024-5163

Aplikacja mobilna com.transsion.carlcare (Carlcare) posiada nieprawidłowo skonfigurowane uprawnienia, co może prowadzić do narażenia haseł i kont użytkowników. Podatność uzyskała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

pub. 2024-06-17
9.4
CVSS
CRITICAL
CVE-2026-41566

Podatność w Apache Kvrocks 2.8.0 polega na niewłaściwej obsłudze niewystarczających uprawnień lub przywilejów. Błąd otrzymał ocenę CRITICAL (CVSS 9.4) i może prowadzić do poważnych naruszeń poufności, integralności oraz dostępności danych.

pub. 2026-06-25
9.2
CVSS
CRITICAL
CVE-2024-46874

Podatność w systemie Ruijie Reyee OS umożliwia klientom MQTT posiadającym dane uwierzytelniające urządzenia wysyłanie wiadomości do wybranych tematów (topics) brokera MQTT. Atakujący może w ten sposób wydawać polecenia innym urządzeniom, podszywając się pod infrastrukturę chmurową Ruijie.

pub. 2024-12-06
9.1
CVSS
CRITICAL
CVE-2024-1608

Podatność w OPPO Usercenter Credit SDK umożliwia eskalację uprawnień (privilege escalation) z powodu zbyt luźnej weryfikacji uprawnień. Może prowadzić do wycieku wewnętrznych informacji aplikacji bez jakiejkolwiek interakcji użytkownika.

pub. 2024-02-20
8.8
CVSS
HIGH
CVE-2026-40371

Improper handling of insufficient permissions or privileges in Microsoft Dynamics 365 (on-premises) allows an authorized attacker to elevate privileges over a network.

pub. 2026-06-09
8.8
CVSS
HIGH
CVE-2025-8109

Software installed and run as a non-privileged user may conduct ptrace system calls to issue writes to GPU origin read only memory.

pub. 2025-08-04
8.8
CVSS
HIGH
CVE-2025-27025

The target device exposes a service on a specific TCP port with a configured endpoint. The access to that endpoint is granted using a Basic Authentication method. The endpoint accepts also the PUT method and it is possible to write files on the target device file system. Files are written as root. Using Postman it is possible to perform a Directory Traversal attack and write files into any location of the device file system. Similarly to the PUT method, it is possible to leverage the same mechanism to read any file from the file system by using the GET method.

pub. 2025-07-02
8.8
CVSS
HIGH
CVE-2025-31173

Memory write permission bypass vulnerability in the kernel futex module Impact: Successful exploitation of this vulnerability may affect service confidentiality.

pub. 2025-04-07
8.8
CVSS
HIGH
CVE-2024-6660

The BookingPress – Appointment Booking Calendar Plugin and Online Scheduling Plugin plugin for WordPress is vulnerable to unauthorized modification of data that can lead to privilege escalation due to a missing capability check on the bookingpress_import_data_continue_process_func function in all versions up to, and including, 1.1.5. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update arbitrary options on the WordPress site and upload arbitrary files. This can be leveraged to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.

pub. 2024-07-17
8.8
CVSS
HIGH
CVE-2024-36451

Improper handling of insufficient permissions or privileges vulnerability exists in ajaxterm module of Webmin prior to 2.003. If this vulnerability is exploited, a console session may be hijacked by an unauthorized user. As a result, data within a system may be referred, a webpage may be altered, or a server may be permanently halted.

pub. 2024-07-10
8.8
CVSS
HIGH
CVE-2023-38298

Various software builds for the following TCL devices (30Z, A3X, 20XE, 10L) leak the device IMEI to a system property that can be accessed by any local app on the device without any permissions or special privileges. Google restricted third-party apps from directly obtaining non-resettable device identifiers in Android 10 and higher, but in these instances they are leaked by a high-privilege process and can be obtained indirectly. The software build fingerprints for each confirmed vulnerable device are as follows: TCL 30Z (TCL/4188R/Jetta_ATT:12/SP1A.210812.016/LV8E:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU5P:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU61:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU66:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU68:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU6P:user/release-keys, and TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU6X:user/release-keys); TCL A3X (TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAAZ:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAB3:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAB7:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABA:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABM:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABP:user/release-keys, and TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABS:user/release-keys); TCL 20XE (TCL/5087Z_BO/Doha_TMO:11/RP1A.200720.011/PB7I-0:user/release-keys and TCL/5087Z_BO/Doha_TMO:11/RP1A.200720.011/PB83-0:user/release-keys); and TCL 10L (TCL/T770B/T1_LITE:10/QKQ1.200329.002/3CJ0:user/release-keys and TCL/T770B/T1_LITE:11/RKQ1.210107.001/8BIC:user/release-keys). This malicious app reads from the "gsm.device.imei0" system property to indirectly obtain the device IMEI.

pub. 2024-04-22
8.8
CVSS
HIGH
CVE-2024-22078

An issue was discovered in Elspec G5 digital fault recorder versions 1.1.4.15 and before. Privilege escalation can occur via world writable files. The network configuration script has weak filesystem permissions. This results in write access for all authenticated users and the possibility to escalate from user privileges to administrative privileges.

pub. 2024-03-20
8.8
CVSS
HIGH
CVE-2019-6570

A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0). Due to insufficient checking of user permissions, an attacker may access URLs that require special authorization. An attacker must have access to a low privileged account in order to exploit the vulnerability.

pub. 2019-04-17
8.6
CVSS
HIGH
CVE-2026-2123

A security audit identified a privilege escalation vulnerability in Operations Agent(<=OA 12.29) on Windows. Under specific conditions Operations Agent may run executables from specific writeable locations.Thanks to Manuel Rickli & Philippe Leiser of Oneconsult AG for reporting this vulnerability

pub. 2026-03-31
8.4
CVSS
HIGH
CVE-2026-0047

In dumpBitmapsProto of ActivityManagerService.java, there is a possible way for an app to access private information due to a missing permission check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-03-02
8.4
CVSS
HIGH
CVE-2024-51459

IBM InfoSphere Information Server 11.7 could allow a local user to execute privileged commands due to the improper handling of permissions.

pub. 2025-03-19
Pokazano 20 z 152 podatności
Informacje
ID: CWE-280
Typ: Base
Podatności: 152
MITRE CWE ↗
← Słownik CWE