CVEbaza.plSłownik CWECWE-288
Common Weakness Enumeration

CWE-288

Authentication Bypass Using an Alternate Path or Channel

Kategoria: BaseCVE: 587
Opis

Produkt wymaga uwierzytelniania, jednak posiada alternatywną ścieżkę lub kanał, który nie wymaga uwierzytelniania. Pozwala to atakującym na uzyskanie dostępu do chronionych zasobów bez konieczności podania prawidłowych poświadczeń.

Description (EN)

The product requires authentication, but the product has an alternate path or channel that does not require authentication.

Podatności CVE z CWE-288 (587)
10.0
CVSS
CRITICAL
CVE-2026-53576

Platforma orkiestracji Kestra zawiera błąd w filtrze uwierzytelnienia REST API, który pozwala anonimowemu atakującemu ominąć Basic-Auth i wykonać dowolny kod jako root wewnątrz kontenera. Ze względu na domyślne montowanie gniazda Docker (/var/run/docker.sock), podatność umożliwia przejęcie kontroli nad hostem.

pub. 2026-06-26
10.0
CVSS
CRITICAL
CVE-2026-20079

Krytyczna podatność w interfejsie webowym Cisco Secure Firewall Management Center (FMC) pozwala nieuwierzytelnionemu zdalnemu atakującemu ominąć mechanizmy uwierzytelnienia i uzyskać dostęp root do systemu operacyjnego. Luka otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.

pub. 2026-03-04
10.0
CVSS
CRITICAL
CVE-2025-64121

Krytyczna podatność (CVSS 10.0) w systemie Nuvation Energy Multi-Stack Controller (MSC) umożliwia nieuwierzytelnionym atakującym całkowite ominięcie mechanizmów uwierzytelniania. Zagrożenie dotyczy urządzeń stosowanych w przemysłowych systemach zarządzania energią i bateryjnymi zasobnikami energii.

pub. 2026-01-02
10.0
CVSS
CRITICAL
CVE-2025-57819

FreePBX w wersjach 15, 16 i 17 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad panelem administratora. Luka jest aktywnie wykorzystywana w atakach i otrzymała maksymalny wynik CVSS 10.0.

pub. 2025-08-28🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2024-11639

Podatność w Ivanti Cloud Services Appliance (CSA) przed wersją 5.0.3 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie pełnego dostępu administracyjnego do urządzenia. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2024-12-10
10.0
CVSS
CRITICAL
CVE-2024-10081

Podatność w Ericsson CodeChecker umożliwia ominięcie mechanizmu uwierzytelniania poprzez odpowiednie sformułowanie adresu URL żądania API. Atakujący bez żadnych uprawnień uzyskuje dostęp superużytkownika do niemal wszystkich endpointów aplikacji.

pub. 2024-11-06
10.0
CVSS
CRITICAL
CVE-2024-2973

Podatność typu Authentication Bypass (CWE-288) w urządzeniach Juniper Networks Session Smart Router oraz Session Smart Conductor umożliwia nieuwierzytelnionemu atakującemu sieciowemu całkowite przejęcie kontroli nad urządzeniem. Dotyczy wyłącznie konfiguracji high-availability z redundantnym peerem i otrzymała maksymalną ocenę CVSS 10.0.

pub. 2024-06-27
10.0
CVSS
CRITICAL
CVE-2024-2013

W komponencie serwera/API Gateway produktów FOXMAN-UN oraz UNEM firmy Hitachi Energy wykryto krytyczną podatność typu authentication bypass. Umożliwia ona nieuwierzytelnionym atakującym dostęp do chronionych usług i dalszego obszaru ataku post-uwierzytelnieniowego.

pub. 2024-06-11
10.0
CVSS
CRITICAL
CVE-2024-1709

ConnectWise ScreenConnect w wersji 23.9.7 i wcześniejszych zawiera krytyczną podatność Authentication Bypass (CWE-288), umożliwiającą atakującemu ominięcie mechanizmów uwierzytelnienia za pomocą alternatywnej ścieżki lub kanału. Podatność jest aktywnie eksploatowana, posiada maksymalny wynik CVSS 10.0 i figuruje w katalogu CISA KEV.

pub. 2024-02-21🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2023-42770

Urządzenia RTU serii Red Lion SixTRAK i VersaTRAK pomijają uwierzytelnianie dla wiadomości protokołu Sixnet UDR przesyłanych przez TCP/IP, mimo że uwierzytelnianie jest skonfigurowane i aktywne. Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad urządzeniem bez żadnych poświadczeń.

pub. 2023-11-21
9.9
CVSS
CRITICAL
CVE-2026-10523

Podatność typu Authentication Bypass (CWE-288) w Ivanti Sentry umożliwia zdalnemu, nieuwierzytelnionemu atakującemu tworzenie dowolnych kont administracyjnych i uzyskanie pełnego dostępu administratorskiego. Oceniona jako KRYTYCZNA z wynikiem CVSS 9.9, stanowi poważne zagrożenie dla organizacji korzystających z dotkniętych wersji produktu.

pub. 2026-06-09
9.9
CVSS
CRITICAL
CVE-2024-6684

Podatność klasy authentication bypass (CWE-288) w panelu domowym GST Electronics inohom Nova Panel N7 umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmów uwierzytelnienia. Podatność jest szczególnie groźna, ponieważ producent poinformował, że produkt nie jest już wspierany i nie otrzyma poprawki.

pub. 2024-08-12
9.8
CVSS
CRITICAL
CVE-2026-49764

Wtyczka WordPress RegistrationMagic w wersjach do 6.0.8.6 włącznie zawiera krytyczną podatność typu broken authentication, umożliwiającą nieuwierzytelniony dostęp do chronionych funkcji. Waga podatności jest krytyczna (CVSS 9.8), co oznacza wysokie ryzyko dla każdej witryny WordPress korzystającej z tej wtyczki.

pub. 2026-06-15
9.8
CVSS
CRITICAL
CVE-2026-24207

NVIDIA Triton Inference Server zawiera podatność typu authentication bypass, która pozwala nieuwierzytelnionemu atakującemu z sieci na ominięcie mechanizmów uwierzytelnienia. Skuteczne wykorzystanie podatności może prowadzić do wykonania kodu, eskalacji uprawnień, naruszenia integralności danych, odmowy usługi lub ujawnienia informacji.

pub. 2026-05-20
9.8
CVSS
CRITICAL
CVE-2026-7458

Plugin User Verification by PickPlugins dla WordPress zawiera krytyczną podatność typu authentication bypass, umożliwiającą nieuwierzytelnionym atakującym zalogowanie się jako dowolny użytkownik — w tym administrator. Wynika ona z błędnego użycia luźnego operatora porównania PHP podczas walidacji kodów OTP.

pub. 2026-05-02
9.8
CVSS
CRITICAL
CVE-2026-7567

Plugin Temporary Login dla WordPress w wersjach do 1.0.0 włącznie zawiera krytyczną podatność typu Authentication Bypass, pozwalającą nieuwierzytelnionemu atakującemu na zalogowanie się jako dowolny aktywny użytkownik tymczasowy. Wystarczy do tego jedno spreparowane żądanie GET.

pub. 2026-05-01
9.8
CVSS
CRITICAL
CVE-2026-6760

Podatność w komponencie Networking: Cookies produktów Mozilla Firefox i Thunderbird umożliwia obejście mechanizmów ochronnych (mitigation bypass) związanych z obsługą plików cookie. Krytyczny poziom CVSS 9.8 wskazuje na możliwość poważnego naruszenia poufności, integralności i dostępności bez jakichkolwiek wymagań wstępnych po stronie atakującego.

pub. 2026-04-21
9.8
CVSS
CRITICAL
CVE-2026-6768

Podatność klasy CWE-288 (Authentication Bypass Using an Alternate Path or Channel) w komponencie obsługi cookies sieciowych pozwala zdalnym atakującym na ominięcie mechanizmów zabezpieczeń bez jakiegokolwiek uwierzytelnienia. Otrzymała ocenę CVSS 9.8, co czyni ją zagrożeniem krytycznym wymagającym pilnej reakcji.

pub. 2026-04-21
9.8
CVSS
CRITICAL
CVE-2026-6771

Podatność klasy mitigation bypass w komponencie DOM Security przeglądarek Mozilla Firefox i Mozilla Thunderbird umożliwia obejście wdrożonych mechanizmów ochronnych. Krytyczny poziom CVSS 9.8 wskazuje, że atak może być przeprowadzony zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

pub. 2026-04-21
9.8
CVSS
CRITICAL
CVE-2026-3461

Plugin Visa Acceptance Solutions dla WordPress w wersjach do 2.1.0 włącznie zawiera krytyczną podatność typu Authentication Bypass, umożliwiającą nieuwierzytelnionemu atakującemu zalogowanie się jako dowolny użytkownik, w tym administrator. Skutkiem jest pełne przejęcie konta i kompromitacja całej witryny.

pub. 2026-04-15
Pokazano 20 z 587 podatności
Informacje
ID: CWE-288
Typ: Base
Podatności: 587
MITRE CWE ↗
← Słownik CWE