CAPEC-17 · Использование вредоносных файлов

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-17СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Использование вредоносных файлов

Атака данного типа эксплуатирует конфигурацию системы, которая позволяет злоумышленнику либо напрямую обращаться к исполняемому файлу, например через доступ к командному интерпретатору, либо, в наиболее тяжёлых случаях, загружать файл и затем выполнять его. Особенно уязвимы веб-серверы, FTP-серверы и промежуточное программное обеспечение, ориентированное на обмен сообщениями и имеющее множество точек интеграции, поскольку и программисты, и администраторы должны согласованно понимать интерфейсы и правильные привилегии для каждого интерфейса.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт пытается получить доступ к файлу по имени, однако не предотвращает надлежащим образом интерпретацию этого имени как ссылк

Продукт не управляет должным образом привилегиями при переключении между различными контекстами, обладающими разными привилегия

Повышенный уровень привилегий, необходимый для выполнения таких операций, как chroot(), должен немедленно сбрасываться после заверше�

Продукт назначает неверного владельца или не проверяет должным образом принадлежность объекта или ресурса.

Продукт не выполняет или некорректно выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить

Программный продукт не использует или некорректно использует механизм защиты, обеспечивающий достаточную защиту от направленных

Программный продукт задаёт разрешения для критически важного с точки зрения безопасности ресурса таким образом, что этот ресурс м

Связанные уязвимости

CVE-2026-9508Неправильные настройки разрешений на критическом ресурсе в Suprema BioStar 2 (версии 2.9.3-2.9.11), которые позволяют создавать резервные файлы, когда администратор настраивал свой путь в NGINX webroot. Эта уязвимость позволяет злоумышленнику с доступом к сети напрямую загружать резервные файлы ZIP через 'http(s)://[server]/download/...', не требуя аутентификации. Это раскрывает высокочувствительную информацию, которая может привести к олицетворению сервера, несанкционированному доступу к базам данных и боковым перемещению.

CVE-2026-47140vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До версии 3.11.4 NodeVM блокирует несколько опасных встроений Node.js, таких как модуль, worker_threads, кластер, vm, repl и Inspector. Однако отказ в листе пропускает процесс и инспектор/обещания. Оба могут быть использованы из песочкового кода для достижения примитивов выполнения на стороне хоста. Это позволяет песочковому коду обходить предполагаемые встроенные ограничения и выполнять код в процессе хоста. Эта проблема была исправлена в версии 3.11.4.

CVE-2026-34938PraisonAI - это многоагентная система команд. До версии 1.5.90, выполнить_code() в прайзонай-агентах запускает управляемый злоумышленником Python внутри трехслойной песочницы, которую можно полностью обойти, пройдя подкласс str с переопределенным методом стартов с () на обертку _safe_getattr, достигнув произвольного выполнения команды ОС на хосте. Этот вопрос был исправлен в версии 1.5.90.

CVE-2026-34208SandboxJS - это библиотека песочницы JavaScript. До 0.8.36 SandboxJS блокирует прямое назначение на глобальные объекты (например, Math.random = ...), но эта защита может быть обойдена через открытый коллируемый путь конструктора: this.constructor.call (target, aterObject). Поскольку этот.конструктор переходит на внутреннюю функцию SandboxGlobal и разрешен Function.prototype.call, код злоумышленника может записывать произвольные свойства в глобальные объекты хоста и сохранять эти мутации в экземплярах песочницы в одном и том же процессе. Эта уязвимость фиксируется в 0.8.36.

CVE-2026-2761Выполнение произвольного кода в Mozilla Firefox и Thunderbird ESR

CVE-2026-25893FUXA - это программное обеспечение для веб-визуализации процессов (SCADA/HMI/Dashboard). До 1.2.10 уязвимость обхода аутентификации в FUXA позволяет удаленному злоумышленнику получить административный доступ через API обновления сердца и выполнить произвольный код на сервере. Эта проблема была исправлена в версии FUXA 1.2.10.

CVE-2026-25885PolarLearn - это бесплатная и открытая программа обучения. В 0-PREELEASE-16 и ранее, групповой чат WebSocket по адресу wss://polarlearn.nl/api/v1/ws можно использовать без входа в систему. Неаутентифицированный клиент может подписаться на любой групповой чат, предоставив группу UUID, а также может отправлять сообщения любой группе. Сервер принимает сообщение и хранит его в чат-Контент группы, так что это не просто визуальный спам.

CVE-2026-0881Выполнение произвольного кода в Mozilla Thunderbird

CVE-2026-0072В дополнениеInputMethodLister of com.android.server.inputmethod.InputMethodManagerService отсутствует. Это может привести к местной эскалации привилегий без каких-либо дополнительных привилегий исполнения. Взаимодействие с пользователем не требуется для эксплуатации.

CVE-2025-69426Версии прошивки Ruckus vRIoT IoT Controller до 3.0.0.0 (GA) содержат жестко закодированные учетные данные для учетной записи пользователя операционной системы в рамках сценария инициализации. Услуга SSH доступна для сети без ограничений на основе IP. Хотя конфигурация отключила SCP и псевдо-TTY, злоумышленник может аутентифицироваться, используя жесткие учетные данные, и установить локальную переадресацию портов SSH для доступа к розетке Docker. Установив файловую систему хоста через Docker, злоумышленник может вырваться из контейнера и выполнить произвольные команды ОС в качестве корня на базовый контроллер vRIoT, что приведет к полному компенсационному системному управлению.

CVE-2025-14988В ibaPDA была выявлена проблема безопасности, которая может разрешить несанкционированные действия в файловой системе при определенных условиях. Это может повлиять на конфиденциальность, целостность или доступность системы.

CVE-2025-12004Неправильное назначение прав доступа к критическому ресурсу в расширении Lockdown MediaWiki фонда Викимедиа, позволяющее злоупотребление привилегиями. Уязвимость заключается в том, что модуль Action API compare (ApiComparePages) не вызывает authorizeRead('read', $page) и поэтому не проверяет обычные права чтения. В результате любой пользователь с правом «read» может получить содержимое защищённых страниц через запрос api.php?action=compare… [1]. Проблема обнаружена в расширении Lockdown, но фактической причиной является отсутствие проверки в ядре MediaWiki. Исправление реализовано в ядре MediaWiki (Action API) и включает вызов authorizeRead, а также аналогичная проверка выполнена в REST‑endpoint CompareHandler [2]. Патч был применён к веткам REL1_42, REL1_43, REL1_44 и master (см. Gerrit).\nИсточники:\n- [1] https://phabricator.wikimedia.org/T397521\n- [2] https://gerrit.wikimedia.org/r/q/Id275382743957004fa7fc56318fc104d8e2d267b

CVE-2024-28189Judge0 — это онлайн-система выполнения кода с открытым исходным кодом. Приложение использует команду UNIX chown для ненадежного файла в песочнице. Злоумышленник может злоупотребить этим, создав символическую ссылку (symlink) на файл за пределами песочницы, что позволит злоумышленнику запустить chown для произвольных файлов за пределами песочницы. Эта уязвимость сама по себе не оказывает существенного влияния, но ее можно использовать для обхода исправления для CVE-2024-28185 и получения полного выхода из песочницы. Эта уязвимость исправлена в версии 1.13.1.

CVE-2024-28185Judge0 — это онлайн-система выполнения кода с открытым исходным кодом. Приложение не учитывает символические ссылки, размещенные внутри каталога песочницы, которые могут быть использованы злоумышленником для записи в произвольные файлы и получения возможности выполнения кода за пределами песочницы. При выполнении отправки Judge0 записывает `run_script` в каталог песочницы. Проблема безопасности заключается в том, что злоумышленник может создать символическую ссылку (symlink) по пути `run_script` до выполнения этого кода, что приведет к тому, что `f.write` будет записывать в произвольный файл в неизолированной системе. Злоумышленник может использовать эту уязвимость для перезаписи сценариев в системе и получения возможности выполнения кода за пределами песочницы.

CVE-2022-35978Minetest - это бесплатный игровой движок с открытым исходным кодом для воксельной графики с простым моддингом и созданием игр. В **одиночной игре** мод может установить глобальную настройку, которая управляет скриптом Lua, загружаемым для отображения главного меню. Затем скрипт загружается сразу после выхода из игровой сессии. Среда Lua, в которой работает меню, не изолирована и может напрямую вмешиваться в систему пользователя. В настоящее время нет известных обходных путей.