CVEbaza.plSłownik CWECWE-305
Common Weakness Enumeration

CWE-305

Authentication Bypass by Primary Weakness

Kategoria: BaseCVE: 152
Opis

Algorytm uwierzytelniania jest prawidłowy, ale wdrożony mechanizm może być obejść w wyniku oddzielnej słabości, która jest pierwotna w stosunku do błędu uwierzytelniania. Ta pierwotna słabość umożliwia ataczkującemu pominięcie procedur uwierzytelniania.

Description (EN)

The authentication algorithm is sound, but the implemented mechanism can be bypassed as the result of a separate weakness that is primary to the authentication error.

Podatności CVE z CWE-305 (152)
10.0
CVSS
CRITICAL
CVE-2025-4320

Oprogramowanie Sufirmam firmy Birebirsoft Software and Technology Solutions zawiera krytyczną podatność umożliwiającą obejście mechanizmu uwierzytelnienia oraz nadużycie procesu odzyskiwania zapomnianego hasła. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — atakujący nieuwierzytelniony zdalnie może przejąć kontrolę nad systemem.

pub. 2026-01-23
10.0
CVSS
CRITICAL
CVE-2024-36388

Podatność w Milesight DeviceHub polega na braku wymaganego uwierzytelnienia dla krytycznych funkcji systemu (CWE-305, CWE-306). Uzyskała najwyższy możliwy wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia systemu przez nieuwierzytelnionego atakującego zdalnie.

pub. 2024-06-02
10.0
CVSS
CRITICAL
CVE-2024-1403

W komponentach OpenEdge Authentication Gateway oraz AdminServer wykryto krytyczną podatność umożliwiającą ominięcie uwierzytelniania. Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość uzyskania pełnego nieautoryzowanego dostępu przez sieć bez jakichkolwiek uprawnień.

pub. 2024-02-27
9.8
CVSS
CRITICAL
CVE-2026-4670

Krytyczna podatność typu authentication bypass w Progress Software MOVEit Automation umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmów uwierzytelnienia. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach produkcyjnych.

pub. 2026-04-30
9.8
CVSS
CRITICAL
CVE-2025-13915

Podatność w IBM API Connect pozwala zdalnemu atakującemu na obejście mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2025-12-26
9.8
CVSS
CRITICAL
CVE-2025-41733

Kreator uruchomienia (commissioning wizard) w urządzeniach Metz-Connect Ewio2 nie sprawdza, czy urządzenie zostało już wcześniej skonfigurowane. Umożliwia to nieuwierzytelnionemu atakującemu zdalne nadpisanie poświadczeń konta root poprzez spreparowane żądania POST.

pub. 2025-11-18
9.8
CVSS
CRITICAL
CVE-2025-36386

IBM Maximo Application Suite w wersjach 9.0.0–9.0.15 oraz 9.1.0–9.1.4 zawiera krytyczną lukę umożliwiającą zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Podatność nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni ją wyjątkowo groźną.

pub. 2025-10-28
9.8
CVSS
CRITICAL
CVE-2025-31161

Podatność w serwerze CrushFTP 10 i 11 umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmu logowania i przejęcie konta crushadmin. Błąd był aktywnie wykorzystywany w środowiskach produkcyjnych w marcu i kwietniu 2025 roku.

pub. 2025-04-03🚩 CISA KEV⚡ EXPLOIT
9.8
CVSS
CRITICAL
CVE-2021-26102

Podatność path traversal w FortiWAN pozwala nieuwierzytelnionemu atakującemu zdalnie usuwać pliki systemowe. Szczególnie niebezpieczna jest możliwość skasowania plików konfiguracyjnych, co skutkuje przywróceniem domyślnego hasła administratora.

pub. 2024-12-19
9.8
CVSS
CRITICAL
CVE-2024-50478

Krytyczna podatność w pluginie Swoop 1-Click Login: Passwordless Authentication dla WordPress pozwala atakującemu na całkowite pominięcie mechanizmu uwierzytelnienia. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

pub. 2024-10-28
9.8
CVSS
CRITICAL
CVE-2023-41920

Podatność umożliwia atakującemu uzyskanie dostępu do konta root bez konieczności uwierzytelnienia. Jest szczególnie niebezpieczna, ponieważ wystarczy, że urządzenie jest skonfigurowane z adresem IP 10.10.10.10, aby doszło do automatycznego zalogowania na konto administratora.

pub. 2024-07-02
9.8
CVSS
CRITICAL
CVE-2023-6153

Krytyczna podatność w oprogramowaniu TeoBASE firmy TeoSOFT Software umożliwia nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8, co oznacza najwyższy poziom zagrożenia.

pub. 2024-03-27
9.8
CVSS
CRITICAL
CVE-2024-1202

Krytyczna podatność w aplikacji XPodas Octopod umożliwia obejście mechanizmu uwierzytelnienia (Authentication Bypass). Jest szczególnie niebezpieczna, ponieważ produkt nie jest już wspierany przez dostawcę i nie można oczekiwać oficjalnego patcha.

pub. 2024-03-21
9.8
CVSS
CRITICAL
CVE-2023-7103

Krytyczna podatność w urządzeniu biometrycznym ZKSoftware UFace 5 umożliwia całkowite pominięcie mechanizmu uwierzytelniania bez żadnych uprawnień ani interakcji użytkownika. Ze względu na sieciowy charakter ataku i brak wymaganych uprawnień, zagrożenie jest oceniane jako krytyczne (CVSS 9.8).

pub. 2024-03-05
9.8
CVSS
CRITICAL
CVE-2023-4501

User authentication with username and password credentials is ineffective in OpenText (Micro Focus) Visual COBOL, COBOL Server, Enterprise Developer, and Enterprise Server (including product variants such as Enterprise Test Server), versions 7.0 patch updates 19 and 20, 8.0 patch updates 8 and 9, and 9.0 patch update 1, when LDAP-based authentication is used with certain configurations. When the vulnerability is active, authentication succeeds with any valid username, regardless of whether the password is correct; it may also succeed with an invalid username (and any password). This allows an attacker with access to the product to impersonate any user. Mitigations: The issue is corrected in the upcoming patch update for each affected product. Product overlays and workaround instructions are available through OpenText Support. The vulnerable configurations are believed to be uncommon. Administrators can test for the vulnerability in their installations by attempting to sign on to a Visual COBOL or Enterprise Server component such as ESCWA using a valid username and incorrect password.

pub. 2023-09-12
9.8
CVSS
CRITICAL
CVE-2023-34124

The authentication mechanism in SonicWall GMS and Analytics Web Services had insufficient checks, allowing authentication bypass. This issue affects GMS: 9.3.2-SP1 and earlier versions; Analytics: 2.5.0.4-R7 and earlier versions.

pub. 2023-07-13
9.8
CVSS
CRITICAL
CVE-2023-34137

SonicWall GMS and Analytics CAS Web Services application use static values for authentication without proper checks leading to authentication bypass vulnerability. This issue affects GMS: 9.3.2-SP1 and earlier versions; Analytics: 2.5.0.4-R7 and earlier versions.

pub. 2023-07-13
9.8
CVSS
CRITICAL
CVE-2023-1833

Authentication Bypass by Primary Weakness vulnerability in DTS Electronics Redline Router firmware allows Authentication Bypass.This issue affects Redline Router: before 7.17.

pub. 2023-04-14
9.8
CVSS
CRITICAL
CVE-2023-1307

Authentication Bypass by Primary Weakness in GitHub repository froxlor/froxlor prior to 2.0.13.

pub. 2023-03-10
9.8
CVSS
CRITICAL
CVE-2023-0777

Authentication Bypass by Primary Weakness in GitHub repository modoboa/modoboa prior to 2.0.4.

pub. 2023-02-10
Pokazano 20 z 152 podatności
Informacje
ID: CWE-305
Typ: Base
Podatności: 152
MITRE CWE ↗
← Słownik CWE