CAPEC-126 · Выход за пределы каталога

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-126СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Выход за пределы каталога

Злоумышленник использует методы манипуляции путями для эксплуатации недостаточной проверки входных данных цели и получения доступа к данным, которые должны быть недоступны. Такой подход хорошо работает, когда цель предоставляет пользователю имена файлов (например, для пользовательских файлов, содержимого веб-сайтов и т. п.) и использует эти имена для формирования путей в файловой системе. Вставляя в эти имена специальные последовательности, можно обойти проверки и получить доступ к файлам вне корня приложения. Наиболее типичная последовательность — использование относительных переходов «..». Например, если приложение хранит файлы пользователей в каталоге /usr/local/myapp/files/user/, а противник запросит файл с именем «../../../../etc/passwd», то итоговый путь может быть интерпретирован как /etc/passwd — системный файл, к которому противник не должен иметь доступа. Некоторые реализации фильтрации последовательностей «..» можно обойти с помощью альтернативных кодировок, URL-кодирования или использования различных разделителей каталогов. Цель атаки — получить несанкционированный доступ к конфиденциальным данным. В некоторых случаях может быть получена также возможность записи за пределы разрешённых каталогов.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт использует внешние входные данные для формирования пути, предназначенного для идентификации файла или каталога внутри ог

Связанные уязвимости

CVE-2026-27897Vociferous provides cross-platform, offline speech-to-text with local AI refinement. Prior to 4.4.2, the vulnerability exists in src/api/system.py within the export_file route. The application accepts a JSON payload containing a filename and content. While the developer intended for a native UI dialog to handle the file path, the API does not validate the filename string before it is processed by the backends filesystem logic. Because the API is unauthenticated and the CORS configuration in app.py is overly permissive (allow_origins=["*"] or allowing localhost), an external attacker can bypass the UI entirely. By using directory traversal sequences (../), an attacker can force the app to write arbitrary data to any location accessible by the current user's permissions. This vulnerability is fixed in 4.4.2.

CVE-2026-2743Arbitrary File Write via Path Traversal upload to Remote Code Execution in SeppMail User Web Interface. The affected feature is the large file transfer (LFT). This issue affects SeppMail: 15.0.2.1 and before

CVE-2026-2731Path traversal and content injection in JobRunnerBackground.aspx in DynamicWeb 8 (all) and 9 (<9.19.7 and <9.20.3) allows unauthenticated attackers to execute code via simple web requests

CVE-2026-22557A malicious actor with access to the network could exploit a Path Traversal vulnerability found in the UniFi Network Application to access files on the underlying system that could be manipulated to access an underlying account.

CVE-2025-9118В пакете Google Cloud Dataform обнаружена уязвимость, связанная с обходом директорий. Удаленный злоумышленник может прочитать и записать файлы в репозитории других клиентов с помощью вредоносного файла package.json [1]. Источники: - [1] https://cloud.devsite.corp.google.com/dataform/docs/security-bulletins#gcp-2025-045

CVE-2025-69770A zip slip vulnerability in the /DesignTools/SkinList.aspx endpoint of MojoPortal CMS v2.9.0.1 allows attackers to execute arbitrary commands via uploading a crafted zip file.

CVE-2025-64075A path traversal vulnerability in the check_token function of Shenzhen Zhibotong Electronics ZBT WE2001 23.09.27 allows remote attackers to bypass authentication and perform administrative actions by supplying a crafted session cookie value.

CVE-2025-63414A Path Traversal vulnerability in the Allsky WebUI version v2024.12.06_06 allows an unauthenticated remote attacker to achieve arbitrary command execution. By sending a crafted HTTP request to the /html/execute.php endpoint with a malicious payload in the id parameter, an attacker can execute arbitrary commands on the underlying operating system, leading to full remote code execution (RCE).

CVE-2025-58321Delta Electronics DIALink имеет уязвимость Directory Traversal Authentication Bypass. Источники: - [1] https://filecenter.deltaww.com/news/download/doc/Delta-PCSA-2025-00016_DIALink%20-%20Directory%20Traversal%20Authentication%20Bypass%20Vulnerability.pdf

CVE-2025-55169В менеджере WeGIA, написанном на языке программирования PHP и предназначенном для использования в организациях, говорящих на португальском языке, обнаружена уязвимость обхода пути (Path Traversal) в эндпоинте html/socio/sistema/download_remessa.php. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ к локальным файлам на сервере и конфиденциальной информации, хранящейся в config.php. Файл config.php содержит данные, которые могут быть использованы для прямого доступа к базе данных. Эта проблема была исправлена в версии 3.4.8 [1]. Источники: - [1] https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-mm3p-7573-4x4j - [2] https://github.com/LabRedesCefetRJ/WeGIA/issues/177 - [3] https://github.com/LabRedesCefetRJ/WeGIA/commit/e8476168171de2f3e047ed92bbc264c981b416b1

CVE-2025-54261ColdFusion версий 2025.3, 2023.15, 2021.21 и более ранних подвержены уязвимости Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'), которая может привести к записи произвольных файлов на файловую систему [1]. Проблема устранена в обновлениях ColdFusion 2025 Update 4, 2023 Update 16 и 2021 Update 22. Рекомендуется обновить ColdFusion до последней версии. Источники: - [1] https://helpx.adobe.com/security/products/coldfusion/apsb25-93.html

CVE-2025-52562Convoy is a KVM server management panel for hosting businesses. In versions 3.9.0-rc3 to before 4.4.1, there is a directory traversal vulnerability in the LocaleController component of Performave Convoy. An unauthenticated remote attacker can exploit this vulnerability by sending a specially crafted HTTP request with malicious locale and namespace parameters. This allows the attacker to include and execute arbitrary PHP files on the server. This issue has been patched in version 4.4.1. A temporary workaround involves implementing strict Web Application Firewall (WAF) rules to incoming requests targeting the vulnerable endpoints.

CVE-2025-34040An arbitrary file upload vulnerability exists in the Zhiyuan OA platform via the wpsAssistServlet interface. The realFileType and fileId parameters are improperly validated during multipart file uploads, allowing unauthenticated attackers to upload crafted JSP files outside of intended directories using path traversal. Successful exploitation enables remote code execution as the uploaded file can be accessed and executed through the web server. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-01 UTC.

CVE-2025-26616WeGIA - это open source Веб-менеджер для учреждений с акцентом на пользователей португальского языка. В WeGIA было обнаружено уязвимость обхода пути в конечной точке `exportar_dump.php`. Эта уязвимость может позволить злоумышленнику получить несанкционированный доступ к конфиденциальной информации, хранящейся в `config.php`. `config.php` содержит информацию, которая может позволить прямой доступ к базе данных. Эта проблема была решена в версии 3.2.14, и всем пользователям рекомендуется обновиться. Неизвестны обходные пути для этой уязвимости.

CVE-2025-14306A directory traversal vulnerability exists in the CacheCleaner component of Robocode version 1.9.3.6. The recursivelyDelete method fails to properly sanitize file paths, allowing attackers to traverse directories and delete arbitrary files on the system. This vulnerability can be exploited by submitting specially crafted inputs that manipulate the file path, leading to potential unauthorized file deletions. https://robo-code.blogspot.com/