CVEbaza.plSłownik CWECWE-400
Common Weakness Enumeration

CWE-400

Uncontrolled Resource Consumption

Kategoria: ClassCVE: 3568
Opis

Produkt nie kontroluje prawidłowo alokacji i utrzymania ograniczonych zasobów. Może to prowadzić do wyczerpania dostępnych zasobów i uniemożliwić prawidłowe działanie systemu.

Description (EN)

The product does not properly control the allocation and maintenance of a limited resource.

Podatności CVE z CWE-400 (3568)
10.0
CVSS
CRITICAL
CVE-2026-22239

W produkcie Bluvoyix firmy Blusparkglobal wykryto podatność w API odpowiedzialnym za wysyłanie wiadomości e-mail, wynikającą z błędów projektowych. Nieuwierzytelniony atakujący zdalny może nadużyć tego API do masowego rozsyłania niechcianych wiadomości w imieniu organizacji korzystającej z produktu.

pub. 2026-01-14
10.0
CVSS
CRITICAL
CVE-2021-44228

Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.

pub. 2021-12-10🚩 CISA KEV⚡ EXPLOIT
9.9
CVSS
CRITICAL
CVE-2026-46775

Podatność w komponencie Core systemu Oracle REST Data Services (wersje 24.2.0–26.1.0) pozwala niskouprzywilejowanemu atakującemu z dostępem sieciowym przez HTTPS na całkowite przejęcie kontroli nad usługą. Wysoki wynik CVSS 9.9 odzwierciedla krytyczny wpływ na poufność, integralność i dostępność, również w kontekście innych produktów (scope change).

pub. 2026-05-28
9.8
CVSS
CRITICAL
CVE-2025-70327

Urządzenie TOTOLINK X5000R w oprogramowaniu v9.1.0cu_2415_B20250515 zawiera podatność typu argument injection w obsłudze żądań setDiagnosisCfg. Umożliwia ona zdalnie uwierzytelnionym atakującym wstrzyknięcie dowolnych opcji wiersza poleceń do narzędzia ping, co może prowadzić do odmowy usługi (DoS).

pub. 2026-02-23
9.8
CVSS
CRITICAL
CVE-2025-61303

Podatność w silniku analizy behawioralnej systemu Windows w Hatching Triage Sandbox umożliwia przesłanemu próbce złośliwego oprogramowania uniknięcie wykrycia i zakłócenie procesu analizy. Zagrożenie jest poważne, ponieważ kluczowe złośliwe działania — takie jak wykonanie PowerShell czy aktywność reverse shell — mogą nie zostać zarejestrowane ani zaraportowane.

pub. 2025-10-20
9.8
CVSS
CRITICAL
CVE-2025-43193

Podatność w systemie Apple macOS wynikająca z nieprawidłowej obsługi pamięci może pozwolić złośliwej aplikacji na wywołanie stanu odmowy usługi (denial-of-service). Pomimo wysokiego wyniku CVSS 9.8, Apple wskazuje na możliwość spowodowania awarii systemu przez lokalnie uruchomioną aplikację.

pub. 2025-07-30
9.8
CVSS
CRITICAL
CVE-2025-24190

Podatność w obsłudze pamięci w systemach Apple pozwala na wywołanie nieoczekiwanego zamknięcia aplikacji lub uszkodzenie pamięci procesu poprzez przetworzenie złośliwie spreparowanego pliku wideo. Wysoki wynik CVSS 9.8 wskazuje na możliwość poważnych skutków bez konieczności uwierzytelnienia.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24211

Podatność w obsłudze pamięci systemów operacyjnych Apple pozwala atakującemu na wywołanie nieoczekiwanego zakończenia aplikacji lub uszkodzenia pamięci procesu poprzez spreparowany plik wideo. Oceniona jako krytyczna (CVSS 9.8), dotyczy szerokiej gamy urządzeń Apple.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24247

Podatność typu type confusion w systemie macOS umożliwia atakującemu zdalne wywołanie nieoczekiwanego zakończenia aplikacji. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia, choć opisany skutek ogranicza się do destabilizacji działania aplikacji.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24260

Podatność w Apple macOS (CWE-400) pozwala atakującemu znajdującemu się w uprzywilejowanej pozycji sieciowej na wywołanie ataku denial-of-service. Błąd wynika z nieprawidłowej obsługi pamięci i został oceniony jako krytyczny z wynikiem CVSS 9.8.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24264

Podatność w obsłudze pamięci w Apple WebKit/Safari umożliwia nieoczekiwane zamknięcie (crash) przeglądarki Safari poprzez przetworzenie złośliwie spreparowanych treści webowych. Ocena CVSS 9.8 (CRITICAL) wskazuje na wysokie ryzyko dla poufności, integralności i dostępności danych.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-24269

Podatność w systemie macOS Sequoia wynikająca z nieprawidłowego zarządzania pamięcią (CWE-400: Uncontrolled Resource Consumption) umożliwia aplikacji wywołanie nieoczekiwanego zakończenia pracy systemu. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2024-45166

UCI IDOL 2 (znany również jako uciIDOL lub IDOL2) w wersjach do 2.12 zawiera krytyczne podatności związane z nieprawidłową walidacją danych wejściowych, błędną deserializacją oraz nieprawidłowym zarządzaniem pamięcią. Błędy te umożliwiają przeprowadzenie ataków typu Denial-of-Service (DoS), a potencjalnie również zdalne wykonanie kodu (RCE).

pub. 2024-08-22
9.8
CVSS
CRITICAL
CVE-2024-39462

W jądrze Linux (Linux Kernel) w sterowniku clk-bcm2711-dvp występuje podatność związana z dostępem do tablicy przed inicjalizacją jej licznika elementów, sklasyfikowana jako CWE-400 (niekontrolowane zużycie zasobów). Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co wskazuje na potencjalnie poważne konsekwencje dla systemów ją zawierających.

pub. 2024-06-25
9.8
CVSS
CRITICAL
CVE-2022-48716

Podatność w sterowniku audio ASoC dla kodeka wcd938x w jądrze Linux polega na nieprawidłowym użyciu identyfikatora kanału (channel id) zamiast identyfikatora portu (port id) podczas obsługi kontrolek miksera. Może to prowadzić do korupcji struktury wcd938x_sdw_priv poprzez dostęp do tablicy port_map poza jej prawidłowym zakresem.

pub. 2024-06-20
9.8
CVSS
CRITICAL
CVE-2024-36543

Podatność w projekcie STRIMZI 0.41.0 i wcześniejszych wersjach umożliwia nieuwierzytelnionemu atakującemu dostęp do Kafka Connect REST API bez autoryzacji. Skutki obejmują kradzież poświadczeń SASL, przejęcie kopii danych z tematów Kafka oraz zakłócenie działania usługi Kafka Mirroring.

pub. 2024-06-17
9.8
CVSS
CRITICAL
CVE-2024-25718

Biblioteka Samly dla języka Elixir przed wersją 1.4.0 nieprawidłowo obsługuje wygasłe sesje SAML, zwracając je zamiast odrzucać. Stanowi to poważne zagrożenie dla kontroli dostępu, ponieważ atakujący może utrzymać dostęp do zasobów pomimo wygaśnięcia jego sesji uwierzytelnienia.

pub. 2024-02-11
9.8
CVSS
CRITICAL
CVE-2023-41294

The DP module has a service hijacking vulnerability.Successful exploitation of this vulnerability may affect some Super Device services.

pub. 2023-09-25
9.8
CVSS
CRITICAL
CVE-2023-28507

Rocket Software UniData versions prior to 8.2.4 build 3003 and UniVerse versions prior to 11.3.5 build 1001 or 12.2.1 build 2002 suffer from a memory-exhaustion issue, where a decompression routine will allocate increasing amounts of memory until all system memory is exhausted and the forked process crashes.

pub. 2023-03-29
9.8
CVSS
CRITICAL
CVE-2021-3821

A potential security vulnerability has been identified for certain HP multifunction printers (MFPs). The vulnerability may lead to Denial of Service when running HP Workpath solutions on potentially affected products.

pub. 2022-12-12
Pokazano 20 z 3568 podatności
Informacje
ID: CWE-400
Typ: Class
Podatności: 3568
MITRE CWE ↗
← Słownik CWE
CWE-400 — Niekontrolowane zużycie zasobów | Słownik CWE | CVEbaza.pl