A termék nem szabályozza megfelelően azokat a helyzeteket, amelyekben a támadó a termék túlzott erőforrás fogyasztását vagy termelését idézheti elő anélkül, hogy a támadónak egyenértékű munkát kellene befektetnie, vagy más módon bizonyítania kellene a jogosultságot, azaz a támadó befolyása „aszimmetrikus”.
A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.
A termékbe injektált idézőjelek felhasználhatók egy rendszer kompromittálására. Az adatok elemzése során az idézőjelek injektálása, hiánya, duplikálása vagy hibás formázása váratlan műveletekhez vezethet.
A szoftver nem végez semmilyen hitelesítést olyan funkcionalitáshoz, amely bizonyítható felhasználói azonosítót igényel, vagy jelentős mennyiségű erőforrást fogyaszt.
A Xerox VersaLink multifunkciós nyomtatók sérülékenységei lehetővé teszik a támadók számára, hogy hitelesítési adatokat szerezzenek pass-back támadások révén, amelyek az LDAP (Lightweight Directory Access Protocol) és SMB/FTP szolgáltatásokat célozzák. A két szóban forgó sérülékenység a CVE-2024-12510 és a CVE-2024-12511 azonosítókon nyomon követhetők, a Xerox biztonsági frissítéseiben már mindkettőt javította. A pass-back támadás lényege, hogy a […]
A termék nem megfelelően osztja ki, módosítja, követi nyomon vagy ellenőrzi egy szereplő jogosultságait, ezáltal nem szándékolt ellenőrzési területet hozva létre számára.
A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.
Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.
Amikor egy aktor azt állítja, hogy egy adott identitással rendelkezik, a termék nem bizonyítja, vagy nem megfelelően bizonyítja, hogy az állítás helytálló.
A Steam áruházból ingyenesen letölthető PirateFi nevű játék a Vidar infólopó kártevőt terjesztette a gyanútlan felhasználóknak.