V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-138СтандартЧерновик
Абстракция: Стандарт
Статус: Черновик
Источник ↗

Внедрение через рефлексию

Злоумышленник передаёт целевому приложению значение, которое затем используется методами рефлексии для идентификации класса, метода или поля. Например, в языке программирования Java библиотеки рефлексии позволяют приложению по имени инспектировать, загружать и вызывать классы и их компоненты. Если злоумышленник может управлять входными данными для этих методов — включая имя класса/метода/поля или передаваемые параметры, — он может вынудить целевое приложение вызывать некорректные методы, читать произвольные поля или даже загружать и использовать вредоносные классы, созданные злоумышленником. Это может привести к раскрытию конфиденциальной информации приложением, возврату некорректных результатов или даже к получению злоумышленником контроля над целевым приложением.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-470
Продукт использует внешние входные данные совместно с рефлексией для выбора классов или кода, однако не предотвращает должным обр

Связанные уязвимости

CVE-2025-34393Barracuda Service Center, реализованный в растворе RMM, в версиях до 2025.1.1, некорректно проверяет имя управляемой злоумышленником службы WSDL, что приводит к небезопасному отражению. Это может привести к удаленному исполнению кода либо путем ссылки на произвольные методы, либо дезериаизации ненадежных типов.
CVE-2026-42027Произвольное местонификация класса через модельный манифест в Apache OpenNLP ExtensionLoader Взятые версии: до 2.5.9, до 3.0.0-M3 Описание:  Метод ExtensionLoader.instantiateExtension(Class, String) загружает класс с его полностью квалифицированным именем через Class.forName() и вызывает его конструктор без arg, с названием класса, полученным из записи манифеста.properties в архиве модели. Существующий isAssignableFrom правильно отклоняет классы, которые не являются подтипами ожидаемого интерфейса расширения (BaseToolFactory для factory =, ArtifactSerializer для серииizer-class-*), но проверка проходит после Class.forName() уже загрузила и инициализировала названный класс. Class.forName() с семантикой инициализации по умолчанию выполняет статический инициатаризатор целевого класса перед возвращением, поэтому злоумышленник, который может предоставить созданный архив модели, может привести к тому, что статический инициализатор любого класса на пути к классу будет работать во время загрузки модели, независимо от того, проходит ли этот класс последующую проверку типа. Эксплуатация требует, чтобы класс с полезными побочными эффектами злоумышленника в его статический инициатаризатор (например, поиска JNDI, исходящее сетевого ввода/вывода или доступа к файловой системе) присутствовал на экране, поэтому это не удаленное выполнение кода; однако поверхность атаки растет по мере того, как распределение сторонних моделей становится более распространенным (хранилища моделей сообщества, объятия в стиле объятия). Вторичный, более узкий вектор влияет на развертывание, которое поставляет законные подклассы BaseToolFactory или ArtifactSerializer с побочными эффектами безarg конструкторы: вредоносный манифест может называть такой класс и заставлять его конструктор работать во время загрузки модели. Смягчение:  * 2.x Пользователи должны обновиться до 2.5.9. * 3.x пользователи должны обновиться до 3.0.0-M3. Примечание: Исправление вводит список разрешений пакет-преимущества, с которой консультируются до того, как вызывается класс.forName(), поэтому статический инициализатор запрещенного класса никогда не выполняется. Классы под приставкой opennlp. остаются разрешенными по умолчанию. Развертывания, которые загружают модели, ссылающиеся на заводы или сериализаторы за пределами opennlp.*, должны выбирать эти пакеты либо программно через ExtensionLoader.registerAllowedPackage(Sring) до первой загрузки модели, либо путем установки свойство системы OPENNLP_EXT_ALLOWED_PACKAGES в разделяемый запятыми список разрешенных префиксов пакета. Пользователи, которые не могут обновиться немедленно, должны убедиться, что все типовые файлы получены из доверенного происхождения и должны проверять свой путь обучения для классов с боковыми статическими инициализаторами или конструкторами, особенно теми, которые выполняют поиск JNDI, сетевые запросы или операции файловой системы во время инициализации класса.
CVE-2025-53693Уязвимость 'Use of Externally-Controlled Input to Select Classes or Code' ('Unsafe Reflection') в Sitecore Sitecore Experience Manager (XM) и Sitecore Experience Platform (XP) позволяет осуществить отравление кэша. Эта проблема затрагивает Sitecore Experience Manager (XM): с 9.0 по 9.3, с 10.0 по 10.4; Experience Platform (XP): с 9.0 по 9.3, с 10.0 по 10.4. Уязвимость обнаружена в обработчике Sitecore.Web.UI.XamlSharp.Xaml.XamlPageHandlerFactory, который можно вызвать до аутентификации. Злоумышленник может использовать небезопасные отражения для вызова методов в Sitecore, что потенциально может привести к RCE. Уязвимость связана с возможностью отравления HTML-кэша [1]. Источники: - [1] https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/ - [2] https://support.sitecore.com/kb?id=kb_article_view&sysparm_article=KB1003667
CVE-2024-6096В Progress® Telerik® Reporting версий до 18.1.24.709 возможна атака с выполнением кода через внедрение объектов через небезопасную уязвимость разрешения типов.
CVE-2024-0200В GitHub Enterprise Server выявлена уязвимость небезопасной рефлексии, которая может привести к инъекции рефлексии. Эта уязвимость может привести к выполнению пользовательских методов и удаленному выполнению кода. Чтобы воспользоваться этой ошибкой, злоумышленнику необходимо войти в учетную запись в экземпляре GHES с ролью владельца организации. Эта уязвимость затронула все версии GitHub Enterprise Server до 3.12 и была исправлена в версиях 3.8.13, 3.9.8, 3.10.5 и 3.11.3. Об этой уязвимости было сообщено через программу GitHub Bug Bounty.
CVE-2023-6943Уязвимость небезопасного отражения в Mitsubishi Electric Corporation EZSocket версий 3.0 - 5.92, GT Designer3 Version1(GOT1000) версий 1.325P и ранее, GT Designer3 Version1(GOT2000) версий 1.320J и ранее, GX Works2 версий 1.11M - 1.626C, GX Works3 версий 1.106L и ранее, MELSOFT Navigator версий 1.04E - 2.102G, MT Works2 версий 1.190Y и ранее, MX Component версий 4.00A - 5.007H и MX OPC Server DA/UA всех версий позволяет удаленному неаутентифицированному злоумышленнику выполнить вредоносный код путем RPC с путем к вредоносной библиотеке при подключении к продуктам [1]. Источники: - [1] https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-020_en.pdf - [2] https://jvn.jp/vu/JVNVU95103362/ - [3] https://www.cisa.gov/news-events/ics-advisories/icsa-24-030-02
CVE-2022-41853Те, кто использует java.sql.Statement или java.sql.PreparedStatement в hsqldb (HyperSQL DataBase) для обработки ненадежных входных данных, могут быть уязвимы для удаленной атаки с выполнением кода. По умолчанию разрешено вызывать любой статический метод любого класса Java в classpath, что приводит к выполнению кода. Эту проблему можно предотвратить, обновившись до версии 2.7.1 или установив системное свойство "hsqldb.method_class_names" для классов, которые разрешено вызывать. Например, можно использовать System.setProperty("hsqldb.method_class_names", "abc") или аргумент Java -Dhsqldb.method_class_names="abc". Начиная с версии 2.7.1 все классы по умолчанию недоступны, за исключением классов в java.lang.Math, и их необходимо включать вручную.
CVE-2022-41852Недостаток был обнаружен в пакете Apache Commons JXPath. Этот недостаток позволяет злоумышленнику использовать интерпретист для выполнения недоверчивых выражений и удаленной атаки кода.
CVE-2021-31522Kylin может получать пользовательский ввод и загружать любой класс через Class.forName(...). Эта проблема затрагивает Apache Kylin 2 версии 2.6.6 и более ранние версии; Apache Kylin 3 версии 3.1.2 и более ранние версии; Apache Kylin 4 версии 4.0.0 и более ранние версии.
CVE-2021-28834Kramdown до версии 2.3.1 не ограничивает Rouge formatters пространством имен Rouge::Formatters, и, таким образом, могут быть созданы произвольные классы.
CVE-2020-7857Уязвимость XPlatform может позволить не прошедшему проверку подлинности злоумышленнику выполнить произвольную команду. Эта уязвимость существует из-за недостаточной проверки недопустимых классов. Эта проблема затрагивает: Tobesoft XPlatform версий до 9.2.2.280.
CVE-2026-8178Проблема существует в версиях Amazon Redshift JDBC Driver до 2.2.2. При определенных условиях драйвер может загружать и выполнять произвольные классы при обработке параметров URL-адреса соединения JDBC. Актер, который может влиять на URL-адрес соединения, может потенциально выполнять код в контексте приложения, при условии, что на классе приложения доступен подходящий класс. Чтобы смягчить эту проблему, пользователи должны обновиться до версии 2.2.2 или более поздней версии.
CVE-2025-63690В свино-яченой свиньи версии 3.8.2 и ниже при настройке запланированных задач в функции управления Quartz под модулем управления системой можно выполнить любой класс Java с безпарометром конструктором и его методы с типом параметров струны через отражение. В это время метод эваля в встроенном классе Tomcat jarta.el.ELProcessor может использоваться для выполнения команд, что приводит к уязвимости удаленного выполнения кода.
CVE-2024-4990В версии 2.0.48 yiisoft/yii2 базовый класс Component содержит уязвимость, при которой магический метод `__set()` не проверяет, что переданное значение является допустимым именем класса поведения или конфигурацией. Это позволяет атакующему создавать экземпляры произвольных классов, передавая параметры их конструкторам и вызывая методы-сеттеры. В зависимости от установленных зависимостей возможны различные виды атак, включая выполнение произвольного кода, получение конфиденциальной информации и несанкционированный доступ.
CVE-2014-9515Dozer неправильно использует основанный на рефлексии подход к преобразованию типов, что может позволить удаленным злоумышленникам выполнять произвольный код посредством специально созданного сериализованного объекта.