CAPEC-108 · Выполнение команд через внедрение SQL-кода

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-108ДетальныйЧерновик

Абстракция: Детальный

Статус: Черновик

Источник ↗

Выполнение команд через внедрение SQL-кода

Злоумышленник использует стандартные методы внедрения SQL-кода для передачи данных в командную строку с целью их выполнения. Это может быть сделано напрямую — через злоупотребление такими директивами, как MSSQL_xp_cmdshell, — либо косвенно, путём внедрения данных в базу данных, которые впоследствии будут интерпретированы как команды командного интерпретатора. Через некоторое время непорядочное серверное приложение (или компонент того же приложения) извлекает внедрённые данные из базы данных и использует их в качестве аргументов командной строки без надлежащей проверки. Вредоносные данные выходят за пределы уровня данных, порождая новые команды для выполнения на хосте.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт получает входные данные или данные иного рода, однако не проверяет или некорректно проверяет, обладают ли эти данные свойс

Программный продукт формирует команду, структуру данных или запись полностью или частично с использованием входных данных от выш�

Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к�

Продукт формирует команду SQL полностью или частично с использованием внешних входных данных из вышестоящего компонента, но не ней�

Выполнение команд или загрузка библиотек из ненадёжного источника или в ненадёжной среде могут привести к тому, что приложение вы�

Связанные уязвимости

CVE-2026-8054Неправильная нейтрализация специальных элементов, используемых в SQL Command («SQL Injection») в конечных точках Publish Audit API (/api/auditPublishing/get» (/awi/auditPublishing/getAll) в dotCMS Core 25.11.04-1 до 26.04.28-02, позволяет удаленным неаутентифицированным злоумышленникам читать, изменять Конечные точки не обеспечивали аутентификацию и принимали несанитарный ввод, используемый в динамически построенном SQL. Исправление в dotCMS Core 26.04.28-03 требует аутентифицированного бэкэнд-пользователя с разрешения портлета издательской очереди. Освобождения LTS не затрагиваются, поскольку уязвимый путь кода никогда не был подтвержден.

CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.

CVE-2026-49185Тема обмена сообщениями FieldX MDM adb передает непроверенные полезные нагрузки непосредственно в Runtime.exec(), что позволяет вводить команду/инструкцию.

CVE-2026-47928Версии ColdFusion 2023.19, 2025.8 и ранее подвержены влиянию неправильной валидации входа, которая может привести к произвольному исполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата изменена.

CVE-2026-42287Emlog - это система построения сайтов с открытым исходным кодом. До версии 2.6.11 прямой инъекции SQL в функции создания и обновления статей позволяет злоумышленникам выполнять произвольные команды SQL, что потенциально приводит к полному компрометированию базы данных, краже данных или уничтожению системы. Этот вопрос был исправлен в версии 2.6.11.

CVE-2026-41900OpenLearnX - это децентрализованная платформа для обучения и оценки с открытым исходным кодом. До версии 2.0.3 в среде выполнения кода OpenLearnX была идентифицирована уязвимость удаленного выполнения кода (RCE), что позволяло осуществлять побег из песочницы и произвольное выполнение команд. Эта проблема была исправлена в версии 2.0.3.

CVE-2026-41553Модуль экспорта PDF, используемый в продуктах DHTMLX Gantt and Scheduler, уязвим для удаленного исполнения кода из-за отсутствия санации параметров «дан». Неаутентифицированный злоумышленник может ввести вредоносный код JavaScript в параметр, значение которого обрабатывается Node.js и впоследствии выполняется. Это может привести к компрометации сервера. Эта проблема была исправлена в формате PDF Export Module версии 0.7.6.

CVE-2026-34955PraisonAI - это система мультиагентных команд. До версии 4.5.97 SubprocessSandbox во всех режимах (BASIC, SRICT, NETWORK_ISOLATED) вызывает subprocess.run() с shell=True и полагается исключительно на соответствие строкообразователей для блокировки опасных команд. Блоклист не включает sh или bash в качестве автономных исполняемых файлов, что позволяет тривиальному выходу песочницы в режиме STRICT через sh -c '<command>. Этот вопрос был исправлен в версии 4.5.97.

CVE-2026-34910Выполнение произвольного кода в UniFi OS Server

CVE-2026-34234CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. В версиях 1.1.1 и ранее веб-установщик (public/installer/index.php) уязвим для неаутентифицированного Исполнителя удаленного кода (RCE), поскольку он выполняет проверку install.lock только после включения и выполнения файлов обработчика формы, оставляя конечные точки установщика доступными в уже установленные экземпляры. Обработчики также пропускают недезинфицированный пользовательский ввод непосредственно в команды оболочки, что позволяет злоумышленнику отправлять созданные запросы, которые выполняют произвольные команды на сервере. Уязвимость проистекает из двух комбинированных слабых мест: (1) преждевременное выполнение обработчика формы перед замком файла и (2) небезопасное использование пользовательского ввода в конструкции команды оболочки. Сообщается, что этот вопрос активно используется в дикой природе. Выпуск исправлен в версии 1.2.0.

CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.

CVE-2026-3325SQL инъекция (SQLi) в MegaCMS v12.0.0, в частности, в параметре 'id_territorio" конечной точки "/web_comunications/cms/get_provincias". Уязвимость возникает из-за неадекватной валидации и санации пользовательского ввода. В частности, через запрос POST параметр «id_territorio», используемый сразу после подачи регистрационной формы, может быть манипулирован неаутентифицированным злоумышленником для выполнения произвольных запросов SQL.

CVE-2026-30302Модуль автоматического утверждения команд в CodeRider-Kilo содержит уязвимость ОС, что делает его механизм безопасности белого списка неэффективным. Уязвимость связана с неправильным использованием несовместимого командного парсера (библиотеки оболочек на основе Unix) для анализа команд на платформе Windows в сочетании с неспособностью правильно обрабатывать специфические для Windows CMD последовательности выхода (^). Злоумышленники могут использовать это несоответствие между логикой разбора и средой исполнения, создавая полезные нагрузки, такие как git log ^" & all_command ^". Парсер CodeRider-Kilo обманывается символами побега, неправильно интерпретируя вредоносный командный разъем (&) как находящийся в защищенном строке аргумента и, таким образом, автоматически одобряя команду. Однако основной интерпретатор Windows CMD игнорирует уклоняемые цитаты, разбирая и выполняя последующую вредоносную команду напрямую. Это позволяет злоумышленникам достичь произвольного исполнения удаленного кода (RCE) после обхода того, что кажется законной проверкой белого списка Git.

CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).

CVE-2026-25586SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 побег из песочницы возможен путем затенения с точки зрения собственности на объекте песочницы, который отключает прототип белого списка на пути доступа к собственности. Это позволяет получить прямой доступ к __proto__ и другим заблокированным свойствам прототипа, что позволяет загрязнять хост Object.prototype и постоянное воздействие поперечного песчаникового отверсту. Эта уязвимость зафиксирована в 0.8.29.