CVEbaza.plSłownik CWECWE-285
Common Weakness Enumeration

CWE-285

Improper Authorization

Kategoria: ClassCVE: 1365
Opis

Produkt nie wykonuje lub nieprawidłowo wykonuje sprawdzenie autoryzacji, gdy użytkownik próbuje uzyskać dostęp do zasobu lub wykonać akcję. Może to prowadzić do nieautoryzowanego dostępu do chronionych zasobów lub funkcjonalności systemu.

Description (EN)

The product does not perform or incorrectly performs an authorization check when an actor attempts to access a resource or perform an action.

Podatności CVE z CWE-285 (1365)
10.0
CVSS
CRITICAL
CVE-2026-0072

W usłudze Android InputMethodManagerService brakuje sprawdzenia uprawnień w metodzie addInputMethodListener. Podatność umożliwia lokalne privilege escalation bez konieczności posiadania dodatkowych uprawnień wykonania.

pub. 2026-06-01
10.0
CVSS
CRITICAL
CVE-2026-32213

Podatność w Microsoft Azure AI Foundry polega na nieprawidłowej autoryzacji (CWE-285, CWE-863), która pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalny poziom krytyczności — exploit jest możliwy bez żadnych uprawnień i bez interakcji użytkownika.

pub. 2026-04-03
10.0
CVSS
CRITICAL
CVE-2026-33105

Podatność w Microsoft Azure Kubernetes Service umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — pełne naruszenie poufności, integralności i dostępności zasobów.

pub. 2026-04-03
10.0
CVSS
CRITICAL
CVE-2026-25885

W aplikacji PolarLearn w wersji 0-PRERELEASE-16 i wcześniejszych punkt końcowy WebSocket czatu grupowego nie wymaga uwierzytelnienia. Pozwala to nieautoryzowanemu użytkownikowi na odczyt i wysyłanie wiadomości do dowolnej grupy, a treści są trwale zapisywane po stronie serwera.

pub. 2026-02-09
10.0
CVSS
CRITICAL
CVE-2026-25893

W oprogramowaniu FUXA (web-based SCADA/HMI/Dashboard) przed wersją 1.2.10 istnieje krytyczna luka umożliwiająca nieuwierzytelnionemu, zdalnemu atakującemu uzyskanie dostępu administracyjnego. Podatność pozwala następnie na wykonanie dowolnego kodu na serwerze, co w środowiskach przemysłowych stanowi wyjątkowo poważne zagrożenie.

pub. 2026-02-09
10.0
CVSS
CRITICAL
CVE-2025-65041

Podatność w Microsoft Partner Center umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — brak wymagań co do uwierzytelnienia, interakcji użytkownika ani lokalnego dostępu.

pub. 2025-12-18
10.0
CVSS
CRITICAL
CVE-2023-33189

Pomerium is an identity and context-aware access proxy. With specially crafted requests, incorrect authorization decisions may be made by Pomerium. This issue has been patched in versions 0.17.4, 0.18.1, 0.19.2, 0.20.1, 0.21.4 and 0.22.2.

pub. 2023-05-30
10.0
CVSS
CRITICAL
CVE-2022-2595

Improper Authorization in GitHub repository kromitgmbh/titra prior to 0.79.1.

pub. 2022-08-01
10.0
CVSS
CRITICAL
CVE-2022-21196

MMP: All versions prior to v1.0.3, PTP C-series: Device versions prior to v2.8.6.1, and PTMP C-series and A5x: Device versions prior to v2.5.4.1 does not perform proper authorization and authentication checks on multiple API routes. An attacker may gain access to these API routes and achieve remote code execution, create a denial-of-service condition, and obtain sensitive information.

pub. 2022-02-18
10.0
CVSS
CRITICAL
CVE-2021-37705

OneFuzz is an open source self-hosted Fuzzing-As-A-Service platform. Starting with OneFuzz 2.12.0 or greater, an incomplete authorization check allows an authenticated user from any Azure Active Directory tenant to make authorized API calls to a vulnerable OneFuzz instance. To be vulnerable, a OneFuzz deployment must be both version 2.12.0 or greater and deployed with the non-default --multi_tenant_domain option. This can result in read/write access to private data such as software vulnerability and crash information, security testing tools and proprietary code and symbols. Via authorized API calls, this also enables tampering with existing data and unauthorized code execution on Azure compute resources. This issue is resolved starting in release 2.31.0, via the addition of application-level check of the bearer token's `issuer` against an administrator-configured allowlist. As a workaround users can restrict access to the tenant of a deployed OneFuzz instance < 2.31.0 by redeploying in the default configuration, which omits the `--multi_tenant_domain` option.

pub. 2021-08-13
10.0
CVSS
CRITICAL
CVE-2021-28799

An improper authorization vulnerability has been reported to affect QNAP NAS running HBS 3 (Hybrid Backup Sync. ) If exploited, the vulnerability allows remote attackers to log in to a device. This issue affects: QNAP Systems Inc. HBS 3 versions prior to v16.0.0415 on QTS 4.5.2; versions prior to v3.0.210412 on QTS 4.3.6; versions prior to v3.0.210411 on QTS 4.3.4; versions prior to v3.0.210411 on QTS 4.3.3; versions prior to v16.0.0419 on QuTS hero h4.5.1; versions prior to v16.0.0419 on QuTScloud c4.5.1~c4.5.4. This issue does not affect: QNAP Systems Inc. HBS 2 . QNAP Systems Inc. HBS 1.3 .

pub. 2021-05-13🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2016-5788

General Electric (GE) Bently Nevada 3500/22M USB with firmware before 5.0 and Bently Nevada 3500/22M Serial have open ports, which makes it easier for remote attackers to obtain privileged access via unspecified vectors.

pub. 2016-11-25
9.9
CVSS
CRITICAL
CVE-2026-47744

W aplikacji Shopper (Headless e-commerce Admin Panel) w wersjach przed 2.8.0 istnieją dwa powiązane defekty autoryzacji, które umożliwiają każdemu uwierzytelnionemu użytkownikowi przejęcie pełnej kontroli nad systemem RBAC. Połączone, pozwalają niskoprzywilejowanemu użytkownikowi uzyskać uprawnienia administratora i usunąć legalnych administratorów z panelu.

pub. 2026-05-29
9.9
CVSS
CRITICAL
CVE-2026-5412

W Canonical Juju istnieje błąd autoryzacji w Controller facade, który pozwala uwierzytelnionemu użytkownikowi o niskich uprawnieniach na pobranie poświadczeń chmurowych użytych do uruchomienia kontrolera. Podatność jest krytyczna, ponieważ ujawnienie tych poświadczeń może umożliwić pełne przejęcie kontroli nad infrastrukturą chmurową.

pub. 2026-04-10
9.9
CVSS
CRITICAL
CVE-2026-30956

Podatność w OneUptime (do wersji 10.0.20 włącznie) umożliwia nisko uprzywilejowanemu użytkownikowi ominięcie mechanizmów autoryzacji i izolacji tenantów poprzez wysłanie sfałszowanych nagłówków HTTP. Skutkiem może być pełne przejęcie konta ofiary oraz nieuprawniony dostęp do danych innych organizacji.

pub. 2026-03-10
9.9
CVSS
CRITICAL
CVE-2025-49746

Podatność w Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu eskalację uprawnień przez sieć. Oceniona jako krytyczna (CVSS 9.9), podatność może prowadzić do przejęcia kontroli nad zasobami poza oryginalnym zakresem uprawnień.

pub. 2025-07-18
9.9
CVSS
CRITICAL
CVE-2025-29827

Podatność w usłudze Microsoft Azure Automation polega na nieprawidłowej autoryzacji, która pozwala uwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnie szerokim zasięgiem oddziaływania.

pub. 2025-05-08
9.9
CVSS
CRITICAL
CVE-2025-30390

Podatność w usłudze Microsoft Azure Machine Learning umożliwia uwierzytelnionemu atakującemu nieautoryzowane podniesienie uprawnień przez sieć. Ocena CVSS 9.9 wskazuje na krytyczny poziom zagrożenia z potencjalnym wpływem na poufność, integralność i dostępność zasobów.

pub. 2025-04-30
9.9
CVSS
CRITICAL
CVE-2024-45387

W komponencie Traffic Ops systemu Apache Traffic Control wykryto podatność typu SQL injection umożliwiającą uprzywilejowanemu użytkownikowi wykonanie dowolnych zapytań SQL na bazie danych. Podatność otrzymała ocenę CVSS 9.9, co czyni ją zagrożeniem krytycznym.

pub. 2024-12-23
9.9
CVSS
CRITICAL
CVE-2024-43602

Krytyczna podatność w Microsoft Azure CycleCloud umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Ze względu na wynik CVSS 9.9 oraz zakres oddziaływania obejmujący zasoby poza bezpośrednim komponentem, stanowi poważne zagrożenie dla środowisk chmurowych HPC.

pub. 2024-11-12
Pokazano 20 z 1365 podatności
Informacje
ID: CWE-285
Typ: Class
Podatności: 1365
MITRE CWE ↗
← Słownik CWE