CAPEC-15 · Разделители команд

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-15СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Разделители команд

Атака данного типа эксплуатирует уязвимости программы, позволяющие злоумышленнику конкатенировать собственные команды с легитимными командами с целью атаки на другие ресурсы, такие как файловая система или база данных. Система, использующая фильтр или проверку входных данных на основе списка запрещённых значений, в отличие от проверки на основе разрешающего списка, уязвима для злоумышленника, способного предсказывать разделители (или их комбинации), отсутствующие в фильтре или списке запрещённых значений. Как и другие атаки внедрения, злоумышленник использует полезную нагрузку с разделителем команд в качестве точки входа для туннелирования через приложение и активации дополнительных атак посредством SQL-запросов, команд командного интерпретатора, сетевого сканирования и т. д.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Программный продукт формирует команду полностью или частично с использованием входных данных от вышестоящего компонента, однако

Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к�

Продукт использует CRLF (возврат каретки и перевод строки) в качестве специального элемента — например, для разделения строк или зап

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле�

Продукт не нейтрализует или некорректно нейтрализует разделители.

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле�

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле�

Продукт некорректно обрабатывает символы, используемые для обозначения начала и конца группы объектов, таких как круглые скобки, �

Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые запрещены политикой

Продукт задаёт регулярное выражение таким образом, что данные сопоставляются или сравниваются некорректно.

Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор

Связанные уязвимости

CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.

CVE-2026-49199Созданное MQTT-сообщения может вызвать командный инъекций, что приводит к выполнению кода на исходном устройстве.

CVE-2026-49185Тема обмена сообщениями FieldX MDM adb передает непроверенные полезные нагрузки непосредственно в Runtime.exec(), что позволяет вводить команду/инструкцию.

CVE-2026-41900OpenLearnX - это децентрализованная платформа для обучения и оценки с открытым исходным кодом. До версии 2.0.3 в среде выполнения кода OpenLearnX была идентифицирована уязвимость удаленного выполнения кода (RCE), что позволяло осуществлять побег из песочницы и произвольное выполнение команд. Эта проблема была исправлена в версии 2.0.3.

CVE-2026-41553Модуль экспорта PDF, используемый в продуктах DHTMLX Gantt and Scheduler, уязвим для удаленного исполнения кода из-за отсутствия санации параметров «дан». Неаутентифицированный злоумышленник может ввести вредоносный код JavaScript в параметр, значение которого обрабатывается Node.js и впоследствии выполняется. Это может привести к компрометации сервера. Эта проблема была исправлена в формате PDF Export Module версии 0.7.6.

CVE-2026-34955PraisonAI - это система мультиагентных команд. До версии 4.5.97 SubprocessSandbox во всех режимах (BASIC, SRICT, NETWORK_ISOLATED) вызывает subprocess.run() с shell=True и полагается исключительно на соответствие строкообразователей для блокировки опасных команд. Блоклист не включает sh или bash в качестве автономных исполняемых файлов, что позволяет тривиальному выходу песочницы в режиме STRICT через sh -c '<command>. Этот вопрос был исправлен в версии 4.5.97.

CVE-2026-34234CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. В версиях 1.1.1 и ранее веб-установщик (public/installer/index.php) уязвим для неаутентифицированного Исполнителя удаленного кода (RCE), поскольку он выполняет проверку install.lock только после включения и выполнения файлов обработчика формы, оставляя конечные точки установщика доступными в уже установленные экземпляры. Обработчики также пропускают недезинфицированный пользовательский ввод непосредственно в команды оболочки, что позволяет злоумышленнику отправлять созданные запросы, которые выполняют произвольные команды на сервере. Уязвимость проистекает из двух комбинированных слабых мест: (1) преждевременное выполнение обработчика формы перед замком файла и (2) небезопасное использование пользовательского ввода в конструкции команды оболочки. Сообщается, что этот вопрос активно используется в дикой природе. Выпуск исправлен в версии 1.2.0.

CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.

CVE-2026-33128H3 - это минимальный вариант H (TTP). В версиях до 1.15.6 и от 2.0.0 до 2.0.1-rc.14 createEventStream уязвим для инъекций Server-Sent Events (SSE) из-за отсутствия дезинфекции новой линии в формате EventStreamMessage() и формате EventStreamComment(). Злоумышленник, который контролирует любую часть поля сообщений SSE (id, event, data или comment), может вводить произвольные события SSE подключенным клиентам. Эта проблема исправлена в версиях 1.15.6 и 2.0.1-rc.15.

CVE-2026-30302Модуль автоматического утверждения команд в CodeRider-Kilo содержит уязвимость ОС, что делает его механизм безопасности белого списка неэффективным. Уязвимость связана с неправильным использованием несовместимого командного парсера (библиотеки оболочек на основе Unix) для анализа команд на платформе Windows в сочетании с неспособностью правильно обрабатывать специфические для Windows CMD последовательности выхода (^). Злоумышленники могут использовать это несоответствие между логикой разбора и средой исполнения, создавая полезные нагрузки, такие как git log ^" & all_command ^". Парсер CodeRider-Kilo обманывается символами побега, неправильно интерпретируя вредоносный командный разъем (&) как находящийся в защищенном строке аргумента и, таким образом, автоматически одобряя команду. Однако основной интерпретатор Windows CMD игнорирует уклоняемые цитаты, разбирая и выполняя последующую вредоносную команду напрямую. Это позволяет злоумышленникам достичь произвольного исполнения удаленного кода (RCE) после обхода того, что кажется законной проверкой белого списка Git.

CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).

CVE-2026-26015DocsGPT - это чат с GPT для документации. От версии 0.15.0 до версии 0.16.0 злоумышленник, заходящий как на официальный веб-сайт DocsGPT, так и на любой локальной и публичной развертывание, может создать вредоносную полезную нагрузку, минуя поведение «MCP-теста» для достижения произвольного удаленного выполнения кода (RCE). Этот вопрос исправлен в версии 0.16.0.

CVE-2026-22781TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. TinyWeb HTTP Server до версии 1.98 уязвим для инъекций команд ОС через параметры запроса в стиле CGI ISINDEX. Параметры запроса передаются в качестве аргументов командной строки в CGI, исполняемый через Windows CreateProcess(). Неаутентированный удаленный злоумышленник может выполнять произвольные команды на сервере, вводя метахарактеры оболочки Windows в HTTP-запросы. Эта уязвимость фиксируется в 1,98.

CVE-2026-10520Уязвимость ОС виндийсинга в Ivanti Sentry перед версиями R10.5.2, R10.6.2 и R10.7.1 позволяет удаленному пользователю с автономным управлением достичь удаленного выполнения кода на корнем уровне

CVE-2025-64128Уязвимость инъекции команд ОС существует из-за неполного валидация пользовательского ввода. Валидация не обеспечивается достаточное количество правил форматирования, которые могли бы позволить злоумышленникам прикладывать Произвольные данные. Это может позволить неаутентифицированному злоумышленнику делать инъекции Произвольные команды.