Falhas do tipo CWE-862

7.080 resultados

Falha de verificação de autorização

A aplicação não valida se o usuário tem permissão para acessar um recurso ou executar uma ação específica. O código presume que quem chegou até ali já é confiável, pulando a checagem de privilégios. Qualquer atacante que consiga se autenticar (ou nem isso) pode fazer operações que deveria estar proibido.

Exemplo

Um admin painel que verifica login, mas depois deixa qualquer usuário logado deletar outros perfis acessando /admin/delete-user/123 diretamente. A autenticação existe, a autorização não.

Como mitigar

Implemente verificações de autorização (ACL, RBAC ou atributo-based) antes de cada operação sensível: confirme se o usuário tem a role ou permissão necessária. Não confie em autenticação alone — é login que prova quem você é, autorização que prova o que você pode fazer.

CVE-2025-11991MEDIUMJetFormBuilder <= 3.5.3 - Missing Authorization to Unauthenticated Form GenerationEPSS 0.2%CVE-2026-54190MEDIUMWordPress Envira Photo Gallery plugin <= 1.12.5 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2025-12355MEDIUMPayaza <= 0.3.8 - Missing Authorization to Unauthenticated Order Status UpdateEPSS 0.2%CVE-2026-8239MEDIUMConcrete CMS 9.5.0 and below is vulnerable to IDOR in '/ccm/frontend/conversations/get_rating'EPSS 0.2%CVE-2026-39713MEDIUMWordPress Mailercloud – Integrate webforms and synchronize website contacts plugin <= 1.0.7 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2026-45243MEDIUMSummarize < 0.15.1 Browser Extension Missing Authorization via Content ScriptEPSS 0.2%CVE-2026-24995MEDIUMWordPress Latest Post Shortcode plugin <= 14.2.0 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2026-11340HIGHAuthorization Bypass in HAVELSAN's Open Source Project Liman MYSEPSS 0.2%CVE-2025-5185MEDIUMSummer Pearl Group Vacation Rental Management Platform cross-site request forgeryEPSS 0.2%CVE-2025-12822MEDIUMWP Login and Register using JWT <= 3.0.0 - Missing Authorization to Authenticated (Subscriber+) API Key ExposureEPSS 0.2%CVE-2026-39707MEDIUMWordPress Accept PayPal Payments using Contact Form 7 plugin <= 4.0.4 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2026-42412MEDIUMWordPress WP User Frontend plugin <= 4.3.1 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2025-10476MEDIUMWP Fastest Cache <= 1.4.0 - Missing Authorization to Authenticated (Subscriber+) DB Cleanup ActionsEPSS 0.2%CVE-2025-48916MEDIUMBookable Calendar - Less critical - Access bypass - SA-CONTRIB-2025-070EPSS 0.2%CVE-2025-2902HIGHImproper Authorization Vulnerability of Maintenance Utility in Hitachi Virtual Storage PlatformEPSS 0.2%CVE-2026-40730MEDIUMWordPress ThemeGrill Demo Importer plugin <= 2.0.0.6 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2026-54842HIGHWordPress Royal MCP plugin <= 1.4.25 - Broken Access Control vulnerabilityEPSS 0.2%CVE-2026-0497MEDIUMMissing Authorization check in Business Server Pages Application (Product Designer Web UI)EPSS 0.2%CVE-2025-10901MEDIUMOriginality.ai AI Checker <= 1.0.16 - Missing Authorization to Authenticated (Subscriber+) Sensitive Information Disclosure via 'ai_get_table'EPSS 0.2%CVE-2025-42987MEDIUMMissing Authorization Check in SAP S/4HANA (Manage Processing Rules - For Bank Statement)EPSS 0.2%