CVEbaza.plSłownik CWECWE-862
Common Weakness Enumeration

CWE-862

Missing Authorization

Kategoria: ClassCVE: 9310
Opis

Produkt nie przeprowadza kontroli autoryzacji, gdy użytkownik próbuje uzyskać dostęp do zasobu lub wykonać akcję. Brak weryfikacji uprawnień może pozwolić nieuprawnionym użytkownikom na dostęp do chronionych danych lub funkcji.

Description (EN)

The product does not perform an authorization check when an actor attempts to access a resource or perform an action.

Podatności CVE z CWE-862 (9310)
10.0
CVSS
CRITICAL
CVE-2026-27604

FOSSBilling w wersjach od 0.5.4 do wcześniejszych niż 0.8.0 zawiera krytyczną podatność polegającą na pominięciu autoryzacji w obsłudze ról API. Atakujący bez żadnych poświadczeń może uzyskać dostęp do uprzywilejowanych endpointów administracyjnych `/api/system/*`.

pub. 2026-06-23
10.0
CVSS
CRITICAL
CVE-2026-28573

In AndroidManifest.xml, there is a possible persistent denial of service due to a missing permission check. This could lead to local denial of service with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-18
10.0
CVSS
CRITICAL
CVE-2026-0071

In SettingsLib, there is a possible missing permission check due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-0081

In NFC, there is a possible way to spoof an NFC event due to a missing permission check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-0092

In Package Manager, there is a possible device lock controller bypass due to a missing permission check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-28615

In Telecomm, there is a possible way to initiate an unauthorized phone call due to a permissions bypass. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

pub. 2026-06-17
10.0
CVSS
CRITICAL
CVE-2026-44327

W komponencie NEF projektu free5GC (otwartoźródłowa implementacja sieci rdzeniowej 5G) przed wersją 4.2.2 trasy grupy nnef-oam są dostępne bez jakiegokolwiek mechanizmu autoryzacji OAuth2/bearer-token. Atakujący z dostępem sieciowym do interfejsu SBI może wywoływać te endpointy bez nagłówka Authorization i uzyskiwać odpowiedź 200 OK.

pub. 2026-05-27
10.0
CVSS
CRITICAL
CVE-2026-44329

W komponencie SMF projektu free5GC (open-source implementacja sieci 5G core) endpointy zarządzania UPI są dostępne bez jakiegokolwiek mechanizmu autoryzacji OAuth2/bearer-token. Atakujący z dostępem sieciowym do interfejsu SBI może wykonywać operacje odczytu, zapisu i usuwania konfiguracji węzłów UP bez podawania nagłówka Authorization, co stanowi krytyczne zagrożenie dla integralności infrastruktury 5G.

pub. 2026-05-27
10.0
CVSS
CRITICAL
CVE-2026-2031

Krytyczna podatność w Google Cloud Application Integration pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać dowolny kod oraz uzyskać dostęp do poufnych danych wewnętrznych. Wynika ona z nieprawidłowej kontroli dostępu do wewnętrznych punktów końcowych API, które zostały przypadkowo wystawione publicznie.

pub. 2026-05-15
10.0
CVSS
CRITICAL
CVE-2026-41679

Podatność w serwerze Paperclip (Node.js) umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem (RCE) bez podania jakichkolwiek poświadczeń i bez interakcji użytkownika. Dotyczy domyślnej konfiguracji wdrożeń działających w trybie 'authenticated', co czyni ją szczególnie niebezpieczną.

pub. 2026-04-23
10.0
CVSS
CRITICAL
CVE-2026-34976

Podatność w Dgraph pozwala nieuwierzytelnionemu atakującemu na wykonanie mutacji administracyjnej restoreTenant bez jakiejkolwiek weryfikacji tożsamości. Umożliwia to nadpisanie całej bazy danych, odczyt plików po stronie serwera oraz przeprowadzenie ataku SSRF — co przy ocenie CVSS 10.0 czyni ją ekstremalnie krytyczną.

pub. 2026-04-06
10.0
CVSS
CRITICAL
CVE-2025-30416

Podatność w Acronis Cyber Protect wynika z braku mechanizmu autoryzacji (CWE-862), co pozwala nieuwierzytelnionemu atakującemu na zdalne ujawnienie wrażliwych danych oraz ich manipulację. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — podatność jest trywialna do wykorzystania i nie wymaga żadnej interakcji użytkownika.

pub. 2026-02-20
10.0
CVSS
CRITICAL
CVE-2025-45854

Podatność w systemie JEHC-BPM 2.0.1 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu (RCE) poprzez endpoint /server/executeExec. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją jednym z najpoważniejszych zagrożeń dla systemów BPM opartych na tym oprogramowaniu.

pub. 2025-06-03
10.0
CVSS
CRITICAL
CVE-2025-46348

Podatność w systemie wiki YesWiki umożliwia nieuwierzytelnionemu atakującemu zainicjowanie tworzenia kopii zapasowej całej witryny i jej pobranie bez logowania. Ze względu na przewidywalną nazwę pliku archiwum, atakujący może wielokrotnie wywoływać tę operację, co stanowi poważne zagrożenie dla poufności danych i dostępności systemu.

pub. 2025-04-29
10.0
CVSS
CRITICAL
CVE-2025-26853

Descor Infocad w wersji 3.5.1 i wcześniejszych posiada krytyczną podatność polegającą na nieprawidłowej implementacji mechanizmu autoryzacji. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów systemu bez żadnych ograniczeń sieciowych.

pub. 2025-03-20
10.0
CVSS
CRITICAL
CVE-2025-22609

Podatność w Coolify (open-source narzędzie do zarządzania serwerami i aplikacjami) pozwala każdemu uwierzytelnionemu użytkownikowi przypisać dowolny istniejący prywatny klucz instancji do własnego serwera. W sprzyjających warunkach konfiguracyjnych atakujący może wykonywać dowolne polecenia na serwerze ofiary.

pub. 2025-01-24
10.0
CVSS
CRITICAL
CVE-2025-22612

W aplikacji Coolify przed wersją 4.0.0-beta.374 zalogowany użytkownik może pobrać dowolny klucz prywatny przechowywany w instancji w postaci jawnego tekstu. W określonych okolicznościach podatność może prowadzić do wykonania dowolnych poleceń na zdalnym serwerze zarządzanym przez ofiarę.

pub. 2025-01-24
10.0
CVSS
CRITICAL
CVE-2024-52416

Plugin Debug Tool dla WordPress w wersji do 2.2 włącznie zawiera podatność typu Missing Authorization, która pozwala nieuwierzytelnionemu atakującemu na wgranie Web Shell na serwer. Luka otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji WordPressa korzystającej z tego pluginu.

pub. 2024-11-16
10.0
CVSS
CRITICAL
CVE-2024-10575

W produkcie Schneider Electric EcoStruxure IT Gateway wykryto krytyczną podatność typu Missing Authorization (CWE-862), umożliwiającą nieautoryzowany dostęp do systemu. Podatność otrzymała maksymalną ocenę CVSS 10.0, co wskazuje na skrajnie wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.

pub. 2024-11-13
10.0
CVSS
CRITICAL
CVE-2024-6500

Pluginy InPost for WooCommerce oraz InPost PL dla WordPress zawierają krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu odczyt i usuwanie dowolnych plików na serwerze. Luka wynika z braku weryfikacji uprawnień w funkcji 'parse_request' i otrzymała maksymalny wynik CVSS 10.0.

pub. 2024-08-17
Pokazano 20 z 9310 podatności
Informacje
ID: CWE-862
Typ: Class
Podatności: 9310
MITRE CWE ↗
← Słownik CWE