CAPEC-15СтандартЧерновик
Разделители команд
Атака данного типа эксплуатирует уязвимости программы, позволяющие злоумышленнику конкатенировать собственные команды с легитимными командами с целью атаки на другие ресурсы, такие как файловая система или база данных. Система, использующая фильтр или проверку входных данных на основе списка запрещённых значений, в отличие от проверки на основе разрешающего списка, уязвима для злоумышленника, способного предсказывать разделители (или их комбинации), отсутствующие в фильтре или списке запрещённых значений. Как и другие атаки внедрения, злоумышленник использует полезную нагрузку с разделителем команд в качестве точки входа для туннелирования через приложение и активации дополнительных атак посредством SQL-запросов, команд командного интерпретатора, сетевого сканирования и т. д.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-77
Программный продукт формирует команду полностью или частично с использованием входных данных от вышестоящего компонента, однако
CWE-78
Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к
CWE-93
Продукт использует CRLF (возврат каретки и перевод строки) в качестве специального элемента — например, для разделения строк или зап
CWE-138
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле
CWE-140
Продукт не нейтрализует или некорректно нейтрализует разделители.
CWE-146
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле
CWE-154
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле
CWE-157
Продукт некорректно обрабатывает символы, используемые для обозначения начала и конца группы объектов, таких как круглые скобки,
CWE-184
Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые запрещены политикой
CWE-185
Продукт задаёт регулярное выражение таким образом, что данные сопоставляются или сравниваются некорректно.
CWE-697
Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор
Связанные уязвимости
CVE-2026-27613TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. A vulnerability in versions prior to 2.01 allows unauthenticated remote attackers to bypass the web server's CGI parameter security controls. Depending on the server configuration and the specific CGI executable in use, the impact is either source code disclosure or remote code execution (RCE). Anyone hosting CGI scripts (particularly interpreted languages like PHP) using vulnerable versions of TinyWeb is impacted. The problem has been patched in version 2.01. If upgrading is not immediately possible, ensure `STRICT_CGI_PARAMS` is enabled (it is defined by default in `define.inc`) and/or do not use CGI executables that natively accept dangerous command-line flags (such as `php-cgi.exe`). If hosting PHP, consider placing the server behind a Web Application Firewall (WAF) that explicitly blocks URL query string parameters that begin with a hyphen (`-`) or contain encoded double quotes (`%22`).
CVE-2026-22781TinyWeb is a web server (HTTP, HTTPS) written in Delphi for Win32. TinyWeb HTTP Server before version 1.98 is vulnerable to OS command injection via CGI ISINDEX-style query parameters. The query parameters are passed as command-line arguments to the CGI executable via Windows CreateProcess(). An unauthenticated remote attacker can execute arbitrary commands on the server by injecting Windows shell metacharacters into HTTP requests. This vulnerability is fixed in 1.98.
CVE-2025-64128An OS command injection vulnerability exists due to incomplete
validation of user-supplied input. Validation fails to enforce
sufficient formatting rules, which could permit attackers to append
arbitrary data. This could allow an unauthenticated attacker to inject
arbitrary commands.
CVE-2025-64127An OS command injection vulnerability exists due to insufficient
sanitization of user-supplied input. The application accepts parameters
that are later incorporated into OS commands without adequate
validation. This could allow an unauthenticated attacker to execute
arbitrary commands remotely.
CVE-2025-64126An OS command injection vulnerability exists due to improper input
validation. The application accepts a parameter directly from user input
without verifying it is a valid IP address or filtering potentially
malicious characters. This could allow an unauthenticated attacker to
inject arbitrary commands.
CVE-2025-64090This vulnerability allows authenticated attackers to execute commands via the hostname of the device.
CVE-2025-61492A command injection vulnerability in the execute_command function of terminal-controller-mcp 0.1.7 allows attackers to execute arbitrary commands via a crafted input.
CVE-2025-5243Уязвимость Unrestricted Upload of File with Dangerous Type и Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') в SMG Software Information Portal позволяет выполнить инъекцию кода и загрузить веб-оболочку на сервер. Проблема затрагивает версии до 13.06.2025 [1].
Источники:
- [1] https://www.usom.gov.tr/bildirim/tr-25-0174
CVE-2025-3499Устройство имеет два веб-сервера, которые предоставляют неаутентифицированные REST API через сетевое управление (TCP-порты 8084 и 8086). Используя инъекцию команд ОС через эти API, злоумышленник может отправлять произвольные команды, которые выполняются с административными правами базовой операционной системой. Источники: https://www.cvcn.gov.it/cvcn/cve/CVE-2025-3499 [1]
Источники:
- [1] https://www.cvcn.gov.it/cvcn/cve/CVE-2025-3499
CVE-2025-34160Продукт AnyShare содержит критическую уязвимость неаутентифицированного удаленного выполнения кода в API ServiceAgent, доступном на порту 10250. Конечная точка /api/ServiceAgent/start_service принимает пользовательский ввод через POST и не выполняет должную очистку payload'ов, похожих на команды. Злоумышленник может внедрить синтаксис оболочки, который интерпретируется бэкендом, что позволяет выполнять произвольные команды. Уязвимость предположительно затрагивает сборки, выпущенные до августа 2025 года, и, как сообщается, исправлена в более новых версиях продукта, хотя точный диапазон затронутых версий остается неопределенным. Факты эксплуатации были впервые обнаружены Shadowserver Foundation 11 июля 2025 года UTC [1]. Уязвимость позволяет неаутентифицированному злоумышленнику получить root-доступ к системе. Для эксплуатации уязвимости можно использовать POST-запрос к /api/ServiceAgent/start_service с payload'ом, содержащим команды оболочки [2].
Источники:
- [1] https://cn-sec.com/archives/4320091.html
- [2] https://stack.chaitin.com/vuldb/detail/b4640952-9be9-4bfa-9d7f-a0be72b35e18
- [3] https://www.aishu.cn/cn
- [4] https://www.aishutech.com/en/anyshare-family7
- [5] https://www.vulncheck.com/advisories/anyshare-serviceagent-api-unauthenticated-rce
CVE-2025-34112В Riverbed SteelCentral NetProfiler и NetExpress 10.8.7 существует уязвимость многоэтапного удаленного выполнения кода. Уязвимость SQL-инъекции в конечной точке '/api/common/1.0/login' может быть использована для создания новой учетной записи пользователя в базе данных устройства. Затем злоумышленник может использовать уязвимость внедрения команды в конечной точке '/index.php?page=licenses' для выполнения произвольных команд. Злоумышленник может повысить привилегии до root, используя небезопасную конфигурацию sudoers, которая позволяет пользователю 'mazu' выполнять произвольные команды от имени root через извлечение SSH-ключа и объединение команд. Успешная эксплуатация позволяет получить полный удаленный root-доступ к виртуальному устройству [1].
Источники:
- [1] https://www.exploit-db.com/exploits/40108
- [2] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/riverbed_netprofiler_netexpress_exec.rb
- [3] https://support.riverbed.com/content/support/software/steelcentral-npm/net-profiler.html
- [4] https://www.vulncheck.com/advisories/riverbed-steel-central-net-profiler-net-express-rce
CVE-2025-34073An unauthenticated command injection vulnerability exists in stamparm/maltrail (Maltrail) versions <=0.54. A remote attacker can execute arbitrary operating system commands via the username parameter in a POST request to the /login endpoint. This occurs due to unsafe handling of user-supplied input passed to subprocess.check_output() in core/http.py, allowing injection of shell metacharacters. Exploitation does not require authentication and commands are executed with the privileges of the Maltrail process.
CVE-2025-34054An unauthenticated command injection vulnerability exists in AVTECH DVR devices via Search.cgi?action=cgi_query. The use of wget without input sanitization allows attackers to inject shell commands through the username or queryb64str parameters, executing commands as root. Exploitation evidence was observed by the Shadowserver Foundation on 2025-01-04 UTC.
CVE-2025-34041An OS command injection vulnerability exists in the Chinese versions of Sangfor Endpoint Detection and Response (EDR) management platform versions 3.2.16, 3.2.17, and 3.2.19. The vulnerability allows unauthenticated attackers to construct and send malicious HTTP requests to the EDR Manager interface, leading to arbitrary command execution with elevated privileges. This flaw only affects the Chinese-language EDR builds. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-04 UTC.
CVE-2025-34037An OS command injection vulnerability exists in various models of E-Series Linksys routers via the /tmUnblock.cgi and /hndUnblock.cgi endpoints over HTTP on port 8080. The CGI scripts improperly process user-supplied input passed to the ttcp_ip parameter without sanitization, allowing unauthenticated attackers to inject shell commands. This vulnerability is exploited in the wild by the "TheMoon" worm to deploy a MIPS ELF payload, enabling arbitrary code execution on the router. This vulnerability may affect other Linksys products to include, but not limited to, WAG/WAP/WES/WET/WRT-series router models and Wireless-N access points and routers. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.