V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1574.006EnterpriseПодтехника
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Перехват динамического компоновщика

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая переменные среды, которые динамический компоновщик использует для загрузки разделяемых библиотек. На этапе подготовки к выполнению программы динамический компоновщик загружает указанные абсолютные пути разделяемых библиотек из различных переменных среды и файлов, таких как LD_PRELOAD в Linux или DYLD_INSERT_LIBRARIES в macOS. Библиотеки, указанные в переменных среды, загружаются первыми, имея приоритет над системными библиотеками с тем же именем функции. Компоновщик каждой платформы использует обширный список переменных среды в разных точках выполнения. Эти переменные часто используются разработчиками для отладки исполняемых файлов без необходимости перекомпиляции, разрешения конфликтов отображаемых символов и реализации пользовательских функций в исходной библиотеке. Перехват переменных динамического компоновщика может предоставить доступ к памяти процесса жертвы, системным/сетевым ресурсам и, возможно, повышенным привилегиям. В Linux злоумышленники могут установить LD_PRELOAD так, чтобы он указывал на вредоносные библиотеки, которые соответствуют имени законных библиотек, запрашиваемых программой жертвы, в результате чего операционная система загружает вредоносный код злоумышленника при выполнении программы жертвы. Например, злоумышленники использовали `LD_PRELOAD` для внедрения вредоносной библиотеки в каждый процесс-потомок демона `sshd`, что приводит к выполнению под законным процессом. Когда выполняющийся подпроцесс вызывает функцию `execve`, например, выполняется функция `execve` вредоносной библиотеки, а не системная функция `execve`, содержащаяся в системной библиотеке на диске. Это позволяет злоумышленникам Скрывать артефакты от обнаружения, поскольку перехват системных функций, таких как `execve` и `readdir`, позволяет вредоносному ПО очищать свои собственные артефакты из результатов команд, таких как `ls`, `ldd`, `iptables` и `dmesg`. Перехват переменных динамического компоновщика может предоставить доступ к памяти процесса жертвы, системным/сетевым ресурсам и, возможно, повышенным привилегиям.

Тактики

ВыполнениеПредотвращение обнаружения

Родительская техника

T1574
Перехват потока выполнения

Платформы

LinuxmacOS

Меры защиты

M1028
Конфигурация операционной системы
M1038
Предотвращение выполнения кода
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-13
Подмена значений переменных окружения
CAPEC-640
Внедрение кода в существующий процесс

Затронутые уязвимости (выводимые)

CVE-2026-25893FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.10, an authentication bypass vulnerability in FUXA allows an unauthenticated, remote attacker to gain administrative access via the heartbeat refresh API and execute arbitrary code on the server. This issue has been patched in FUXA version 1.2.10.
CVE-2026-25885PolarLearn is a free and open-source learning program. In 0-PRERELEASE-16 and earlier, the group chat WebSocket at wss://polarlearn.nl/api/v1/ws can be used without logging in. An unauthenticated client can subscribe to any group chat by providing a group UUID, and can also send messages to any group. The server accepts the message and stores it in the group’s chatContent, so this is not just a visual spam issue.
CVE-2026-25586SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.
CVE-2026-25520SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, The return values of functions aren't wrapped. Object.values/Object.entries can be used to get an Array containing the host's Function constructor, by using Array.prototype.at you can obtain the hosts Function constructor, which can be used to execute arbitrary code outside of the sandbox. This vulnerability is fixed in 0.8.29.
CVE-2026-22240The vulnerability exists in BLUVOYIX due to an improper password storage implementation and subsequent exposure via unauthenticated APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable users API to retrieve the plaintext passwords of all user users. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform by logging in using an exposed admin email address and password.
CVE-2026-22237The vulnerability exists in BLUVOYIX due to the exposure of sensitive internal API documentation. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the APIs exposed by the documentation. Successful exploitation of this vulnerability could allow the attacker to cause damage to the targeted platform by abusing internal functionality.
CVE-2026-21858Получение конфиденциальной информации в n8n
CVE-2026-0848NLTK versions <=3.9.2 are vulnerable to arbitrary code execution due to improper input validation in the StanfordSegmenter module. The module dynamically loads external Java .jar files without verification or sandboxing. An attacker can supply or replace the JAR file, enabling the execution of arbitrary Java bytecode at import time. This vulnerability can be exploited through methods such as model poisoning, MITM attacks, or dependency poisoning, leading to remote code execution. The issue arises from the direct execution of the JAR file via subprocess with unvalidated classpath input, allowing malicious classes to execute when loaded by the JVM.
CVE-2025-70974Fastjson before 1.2.48 mishandles autoType because, when an @type key is in a JSON document, and the value of that key is the name of a Java class, there may be calls to certain public methods of that class. Depending on the behavior of those methods, there may be JNDI injection with an attacker-supplied payload located elsewhere in that JSON document. This was exploited in the wild in 2023 through 2025. NOTE: this issue exists because of an incomplete fix for CVE-2017-18349. Also, a later bypass is covered by CVE-2022-25845.
CVE-2025-61481An issue in MikroTik RouterOS v.7.14.2 and SwOS v.2.18 exposes the WebFig management interface over cleartext HTTP by default, allowing an on-path attacker to execute injected JavaScript in the administrator’s browser and intercept credentials.
CVE-2025-54945An external control of file name or path vulnerability in SUNNET Corporate Training Management System before 10.11 allows remote attackers to execute arbitrary system commands via a malicious file by controlling the destination file path.
CVE-2025-53624Плагин Docusaurus gists добавляет страницу в экземпляр Docusaurus, отображающую все публичные gists пользователя GitHub. Версии docusaurus-plugin-content-gists до 4.0.0 уязвимы к раскрытию токенов GitHub Personal Access в артефактах производственной сборки при передаче через параметры конфигурации плагина. Токен, предназначенный только для доступа к API во время сборки, непреднамеренно включается в клиентские JavaScript-бандлы, делая его доступным для всех, кто может просмотреть исходный код сайта. Уязвимость исправлена в версии 4.0.0. Источники: - [1] https://github.com/webbertakken/docusaurus-plugin-content-gists/security/advisories/GHSA-qf34-qpr4-5pph - [2] https://github.com/webbertakken/docusaurus-plugin-content-gists/commit/8d4230b82412edb215ddfa9e609d178510a5fe31
CVE-2025-34300В Sawtooth Software’s Lighthouse Studio версий до 9.16.14 существует уязвимость, связанная с внедрением шаблона, через Perl веб-приложение ciwweb.pl. Эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольные команды [1]. Источники: - [1] https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio - [2] https://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/
CVE-2025-34105В встроенном веб-интерфейсе DiskBoss Enterprise версий 7.4.28, 7.5.12 и 8.2.14 существует уязвимость переполнения буфера на основе стека. Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный длинный URI, что потенциально может привести к выполнению произвольного кода с привилегиями SYSTEM на уязвимых хостах Windows. Существуют эксплойты для этой уязвимости, доступные на сайтах Exploit-DB [1][2] и в модуле Metasploit [3]. Источники: - [1] https://www.exploit-db.com/exploits/40869 - [2] https://www.exploit-db.com/exploits/42395 - [3] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/diskboss_get_bof.rb - [4] https://www.vulncheck.com/advisories/diskboss-enterprise-buffer-overflow-rce
CVE-2025-34060A PHP objection injection vulnerability exists in the Monero Project’s Laravel-based forum software due to unsafe handling of untrusted input in the /get/image/ endpoint. The application passes a user-supplied link parameter directly to file_get_contents() without validation. MIME type checks using PHP’s finfo can be bypassed via crafted stream filter chains that prepend spoofed headers, allowing access to internal Laravel configuration files. An attacker can extract the APP_KEY from config/app.php, forge encrypted cookies, and trigger unsafe unserialize() calls, leading to reliable remote code execution.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.