CVEbaza.plSłownik CWECWE-284
Common Weakness Enumeration

CWE-284

Improper Access Control

Kategoria: PillarCVE: 5360
Opis

Produkt nie ogranicza lub nieprawidłowo ogranicza dostęp do zasobu dla nieupoważnionego użytkownika. Może to pozwolić osobom nieuprawnionym na wykonanie operacji, które powinny być dostępne tylko dla autoryzowanych aktorów.

Description (EN)

The product does not restrict or incorrectly restricts access to a resource from an unauthorized actor.

Podatności CVE z CWE-284 (5360)
10.0
CVSS
CRITICAL
CVE-2026-50746

A malicious actor with access to the network could exploit an Improper Access Control vulnerability found in UniFi Connect Application to execute a Command Injection on the host device.

pub. 2026-07-02
10.0
CVSS
CRITICAL
CVE-2026-35307

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Core). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-35308

Vulnerability in the Oracle Coherence product of Oracle Fusion Middleware (component: Centralized Third Party Jars). Supported versions that are affected are 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 and 15.1.1.0.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Coherence. While the vulnerability is in Oracle Coherence, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of Oracle Coherence. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-46978

Vulnerability in the Oracle Solaris product of Oracle Systems (component: Remote Administration Daemon). The supported version that is affected is 11.4. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Oracle Solaris. While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Solaris accessible data as well as unauthorized access to critical data or complete access to all Oracle Solaris accessible data. CVSS 3.1 Base Score 10.0 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N).

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-46695

Podatność w Boxlite (usługa sandbox do uruchamiania kontenerów OCI z niezaufanym kodem) pozwala złośliwemu kodowi wewnątrz kontenera na przemontowanie katalogów w trybie odczytu-zapisu. Jest to szczególnie niebezpieczne, ponieważ kompromituje izolację środowiska sandbox i umożliwia nieautoryzowane modyfikacje systemu plików.

pub. 2026-06-10
10.0
CVSS
CRITICAL
CVE-2026-48907

Podatność w rozszerzeniu JCE (JCE Editor) dla Joomla umożliwia nieuwierzytelnionym użytkownikom tworzenie nowych profili edytora, co prowadzi do przesłania i wykonania złośliwego kodu PHP. Ocena CVSS 10.0 (CRITICAL) wskazuje na maksymalne ryzyko — atakujący nie potrzebuje żadnych uprawnień ani interakcji ze strony użytkownika.

pub. 2026-06-05🚩 CISA KEV
10.0
CVSS
CRITICAL
CVE-2026-46840

Podatność w komponencie Backend-as-a-Service systemu Oracle REST Data Services (wersje 24.2.0–26.1.0) umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie usługi przez sieć via HTTPS. Ocena CVSS 10.0 oznacza maksymalne ryzyko dla poufności, integralności i dostępności danych.

pub. 2026-05-28
10.0
CVSS
CRITICAL
CVE-2026-34908

Podatność klasy Improper Access Control (CWE-284) w urządzeniach UniFi OS umożliwia atakującemu z dostępem do sieci wprowadzenie nieautoryzowanych zmian w systemie. Ocena CVSS 10.0 wskazuje na krytyczny poziom zagrożenia przy braku jakichkolwiek wymagań wstępnych po stronie atakującego.

pub. 2026-05-22🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2026-34234

CtrlPanel w wersjach 1.1.1 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń na serwerze (RCE) poprzez webowy instalator. Podatność jest aktywnie eksploatowana na wolności.

pub. 2026-05-19
10.0
CVSS
CRITICAL
CVE-2026-31843

Pakiet goodoneuz/pay-uz w wersjach do 2.2.24 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Endpoint /payment/api/editable/update jest dostępny bez żadnego mechanizmu uwierzytelnienia, co pozwala na dowolną modyfikację plików PHP obsługujących płatności.

pub. 2026-04-16
10.0
CVSS
CRITICAL
CVE-2026-33478

WWBN AVideo w wersjach do 26.0 włącznie zawiera łańcuch krytycznych podatności w pluginie CloneSite, który umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej instancji dostępnej z sieci.

pub. 2026-03-23
10.0
CVSS
CRITICAL
CVE-2026-32760

W aplikacji File Browser w wersjach 2.61.2 i wcześniejszych każdy nieuwierzytelniony użytkownik może samodzielnie zarejestrować konto z pełnymi uprawnieniami administratora, jeśli włączona jest opcja samorejestracji (signup = true) oraz domyślne uprawnienia zawierają perm.admin = true. Podatność umożliwia przejęcie pełnej kontroli nad serwerem przez dowolną osobę z dostępem do publicznego endpointu rejestracji.

pub. 2026-03-20
10.0
CVSS
CRITICAL
CVE-2026-30966

Podatność w Parse Server umożliwia dowolnemu klientowi posiadającemu wyłącznie klucz aplikacji (application key) bezpośredni dostęp do wewnętrznych tabel relacji (Relation) przez REST API lub GraphQL API bez wymagania klucza master. Jest to podatność krytyczna (CVSS 10.0), ponieważ pozwala na pełne obejście mechanizmów kontroli dostępu opartych na rolach.

pub. 2026-03-10
10.0
CVSS
CRITICAL
CVE-2026-2768

Podatność umożliwia ucieczkę z mechanizmu sandbox (sandbox escape) w komponencie Storage: IndexedDB w przeglądarkach Mozilla Firefox oraz kliencie poczty Mozilla Thunderbird. Krytyczna ocena CVSS 10.0 wskazuje na pełne zagrożenie poufności, integralności i dostępności systemu bez jakichkolwiek wymagań wstępnych po stronie atakującego.

pub. 2026-02-24
10.0
CVSS
CRITICAL
CVE-2026-21636

Błąd w modelu uprawnień Node.js pozwala na nawiązanie połączeń przez Unix Domain Socket (UDS) z pominięciem restrykcji sieciowych, nawet gdy flaga `--allow-net` nie jest ustawiona. Podatność umożliwia dostęp do uprzywilejowanych usług lokalnych, co może prowadzić do privilege escalation lub wykonania kodu.

pub. 2026-01-20
10.0
CVSS
CRITICAL
CVE-2026-21962

Krytyczna podatność w Oracle HTTP Server oraz Oracle WebLogic Server Proxy Plug-in umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do systemu przez HTTP bez żadnych uprawnień. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla środowisk korzystających z tych produktów.

pub. 2026-01-20
10.0
CVSS
CRITICAL
CVE-2026-0881

Podatność umożliwia ucieczkę z piaskownicy (sandbox escape) w komponencie Messaging System przeglądarki Firefox oraz klienta pocztowego Thunderbird. Zagrożenie jest krytyczne — atakujący może przejąć pełną kontrolę nad systemem ofiary bez jakiejkolwiek interakcji użytkownika i bez wymaganych uprawnień.

pub. 2026-01-13
10.0
CVSS
CRITICAL
CVE-2025-54339

Podatność klasy Incorrect Access Control (CWE-284) w serwerze aplikacji Desktop Alert PingAlert umożliwia zdalnym, nieuwierzytelnionym atakującym eskalację uprawnień. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — exploit nie wymaga żadnej interakcji użytkownika ani posiadanych wcześniej uprawnień.

pub. 2025-11-14
10.0
CVSS
CRITICAL
CVE-2025-29270

Nieprawidłowa kontrola dostępu w endpoint realtime.cgi urządzeń DSE855 firmy Deep Sea Electronics umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad urządzeniem. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.

pub. 2025-10-31
10.0
CVSS
CRITICAL
CVE-2025-54914

CVE-2025-54914 to krytyczna podatność typu Elevation of Privilege (privilege escalation) w Microsoft Azure Networking, oceniona na maksymalny wynik CVSS 10.0. Ze względu na sieciowy wektor ataku niewymagający uwierzytelnienia ani interakcji użytkownika, podatność stwarza poważne ryzyko dla infrastruktury chmurowej opartej na platformie Azure.

pub. 2025-09-04
Pokazano 20 z 5360 podatności
Informacje
ID: CWE-284
Typ: Pillar
Podatności: 5360
MITRE CWE ↗
← Słownik CWE
CWE-284 — Nieprawidłowa Kontrola Dostępu | Słownik CWE | CVEbaza.pl