CVEbaza.plSłownik CWECWE-693
Common Weakness Enumeration

CWE-693

Protection Mechanism Failure

Kategoria: PillarCVE: 615
Opis

Produkt nie wykorzystuje lub nieprawidłowo wykorzystuje mechanizm ochrony, który zapewniałby wystarczającą obronę przed ukierunkowanymi atakami. Skutkuje to brakiem odpowiedniej ochrony przed zagrożeniami bezpieczeństwa.

Description (EN)

The product does not use or incorrectly uses a protection mechanism that provides sufficient defense against directed attacks against the product.

Podatności CVE z CWE-693 (615)
10.0
CVSS
CRITICAL
CVE-2026-47140

Biblioteka vm2 do wersji 3.11.4 posiada niekompletną listę blokowanych modułów Node.js w komponencie NodeVM, co umożliwia kod uruchomiony w środowisku sandbox na ucieczkę do procesu hosta. Podatność otrzymała maksymalny wynik CVSS 10.0, co świadczy o jej krytycznym charakterze.

pub. 2026-06-12
10.0
CVSS
CRITICAL
CVE-2026-34208

Biblioteka SandboxJS przed wersją 0.8.36 pozwala atakującemu na ominięcie mechanizmu izolacji sandbox poprzez nadużycie ścieżki konstruktora. Podatność umożliwia trwałą modyfikację globalnych obiektów hosta, co prowadzi do naruszenia izolacji między instancjami sandbox w tym samym procesie.

pub. 2026-04-06
10.0
CVSS
CRITICAL
CVE-2026-34938

Podatność w funkcji execute_code() systemu PraisonAI pozwala atakującemu na całkowite ominięcie trójwarstwowego sandboxa i wykonanie dowolnych poleceń systemowych na hoście. Krytyczny charakter błędu wynika z braku wymagań uwierzytelnienia i możliwości zdalnego wykorzystania bez interakcji użytkownika.

pub. 2026-04-03
10.0
CVSS
CRITICAL
CVE-2026-2761

Podatność umożliwia ucieczkę z piaskownicy (sandbox escape) poprzez komponent Graphics: WebRender w przeglądarkach Mozilla Firefox oraz kliencie pocztowym Mozilla Thunderbird. Oceniona jako krytyczna z maksymalnym wynikiem CVSS 10.0, zagraża pełną kompromitacją systemu bez jakiejkolwiek interakcji użytkownika.

pub. 2026-02-24
10.0
CVSS
CRITICAL
CVE-2026-2768

Podatność umożliwia ucieczkę z mechanizmu sandbox (sandbox escape) w komponencie Storage: IndexedDB w przeglądarkach Mozilla Firefox oraz kliencie poczty Mozilla Thunderbird. Krytyczna ocena CVSS 10.0 wskazuje na pełne zagrożenie poufności, integralności i dostępności systemu bez jakichkolwiek wymagań wstępnych po stronie atakującego.

pub. 2026-02-24
10.0
CVSS
CRITICAL
CVE-2026-23830

Biblioteka SandboxJS w wersjach przed 0.8.26 zawiera podatność umożliwiającą ucieczkę z piaskownicy (sandbox escape) i wykonanie dowolnego kodu (RCE) na hoście. Luka wynika z braku izolacji konstruktorów `AsyncFunction`, `GeneratorFunction` i `AsyncGeneratorFunction`, co pozwala atakującemu uzyskać pełny dostęp do środowiska hosta.

pub. 2026-01-28
10.0
CVSS
CRITICAL
CVE-2026-22686

Krytyczna podatność w Agentfront Enclave (enclave-vm) pozwala niezaufanemu kodowi JavaScript uruchomionemu w sandboxie na wykonanie dowolnego kodu w hoście Node.js. Luka całkowicie obala gwarancję izolacji sandboxa, umożliwiając atakującemu pełny dostęp do zasobów serwera.

pub. 2026-01-14
10.0
CVSS
CRITICAL
CVE-2026-0881

Podatność umożliwia ucieczkę z piaskownicy (sandbox escape) w komponencie Messaging System przeglądarki Firefox oraz klienta pocztowego Thunderbird. Zagrożenie jest krytyczne — atakujący może przejąć pełną kontrolę nad systemem ofiary bez jakiejkolwiek interakcji użytkownika i bez wymaganych uprawnień.

pub. 2026-01-13
10.0
CVSS
CRITICAL
CVE-2023-31273

Protection mechanism failure in some Intel DCM software before version 5.2 may allow an unauthenticated user to potentially enable escalation of privilege via network access.

pub. 2023-11-14
10.0
CVSS
CRITICAL
CVE-2022-32845

This issue was addressed with improved checks. This issue is fixed in watchOS 8.7, iOS 15.6 and iPadOS 15.6, macOS Monterey 12.5. An app may be able to break out of its sandbox.

pub. 2022-09-23
9.9
CVSS
CRITICAL
CVE-2026-50545

W frameworku Fission (serverless na Kubernetes) w wersjach przed 1.24.0 brak walidacji pól podSpec pozwalał na propagację niebezpiecznych konfiguracji do generowanych podów. Podatność umożliwia atakującemu z podstawowymi uprawnieniami przejęcie kontroli nad środowiskiem kontenerowym i eskalację uprawnień w klastrze Kubernetes.

pub. 2026-06-10
9.9
CVSS
CRITICAL
CVE-2026-50564

Podatność w Fission (Kubernetes-native serverless framework) przed wersją 1.24.0 pozwala uwierzytelnionemu użytkownikowi na uzyskanie rozszerzonych uprawnień na poziomie hosta i klastra poprzez spreparowane pole podSpec w zasobie Environment CRD. Ze względu na brak filtrowania i walidacji krytycznych pól, zagrożenie jest oceniane jako krytyczne (CVSS 9.9).

pub. 2026-06-10
9.9
CVSS
CRITICAL
CVE-2026-45102

Platforma monitoringu OneUptime w wersjach przed 10.0.98 nieprawidłowo wykorzystuje moduł vm z Node.js jako mechanizm izolacji kodu. Moduł ten nie był zaprojektowany do tego celu i może zostać ominięty, co prowadzi do wykonania arbitralnego kodu poza piaskownicą.

pub. 2026-05-27
9.9
CVSS
CRITICAL
CVE-2026-39888

Podatność w module `python_tools` systemu PraisonAI pozwala uwierzytelnionemu użytkownikowi na ucieczkę z ograniczonego środowiska sandbox i wykonanie dowolnego kodu z poziomem uprawnień procesu hosta. Luka otrzymała ocenę CVSS 9.9, co czyni ją podatnością krytyczną.

pub. 2026-04-08
9.9
CVSS
CRITICAL
CVE-2026-33396

Podatność w OneUptime (platforma monitoringu open-source) umożliwia nisko uprzywilejowanemu uwierzytelnionemu użytkownikowi (ProjectMember) zdalne wykonanie kodu (RCE) na kontenerze/hoście Probe. Wynika z niekompletnej listy blokowanych właściwości w sandboxie wykonującym skrypty Playwright.

pub. 2026-03-26
9.9
CVSS
CRITICAL
CVE-2026-21669

Podatność w Veeam Backup & Replication umożliwia uwierzytelnionemu użytkownikowi domenowemu wykonanie dowolnego kodu zdalnie (RCE) na serwerze kopii zapasowych. Krytyczny poziom zagrożenia (CVSS 9.9) wynika z możliwości pełnego przejęcia kontroli nad serwerem bez konieczności posiadania uprawnień administracyjnych.

pub. 2026-03-12
9.9
CVSS
CRITICAL
CVE-2025-68668

Podatność w platformie n8n (wersje 1.0.0 do < 2.0.0) pozwala uwierzytelnionemu użytkownikowi na ominięcie sandboxa Pyodide w węźle kodu Python i wykonanie dowolnych poleceń na serwerze hostującym n8n. Ze względu na krytyczny wynik CVSS 9.9 i zakres oddziaływania obejmujący system hosta, stanowi poważne zagrożenie dla każdej instalacji tej platformy.

pub. 2025-12-26
9.9
CVSS
CRITICAL
CVE-2023-25765

In Jenkins Email Extension Plugin 2.93 and earlier, templates defined inside a folder were not subject to Script Security protection, allowing attackers able to define email templates in folders to bypass the sandbox protection and execute arbitrary code in the context of the Jenkins controller JVM.

pub. 2023-02-15
9.9
CVSS
CRITICAL
CVE-2021-32835

Eclipse Keti is a service that was designed to protect RESTfuls API using Attribute Based Access Control (ABAC). In Keti a sandbox escape vulnerability may lead to post-authentication Remote Code execution. This vulnerability is known to exist in the latest commit at the time of writing this CVE (commit a1c8dbe). For more details see the referenced GHSL-2021-063.

pub. 2021-09-09
9.9
CVSS
CRITICAL
CVE-2019-10328

Jenkins Pipeline Remote Loader Plugin 1.4 and earlier provided a custom whitelist for script security that allowed attackers to invoke arbitrary methods, bypassing typical sandbox protection.

pub. 2019-05-31
Pokazano 20 z 615 podatności
Informacje
ID: CWE-693
Typ: Pillar
Podatności: 615
MITRE CWE ↗
← Słownik CWE