V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-197ДетальныйЧерновик
Абстракция: Детальный
Статус: Черновик
Источник ↗

Экспоненциальное расширение данных

Злоумышленник передаёт целевому приложению данные, содержащие вложенное экспоненциальное расширение данных для формирования избыточно большого вывода. Многие языки форматов данных допускают определение структур, схожих с макросами, которые могут упрощать создание сложных структур. Однако данная возможность может быть использована злоупотребительно для создания чрезмерной нагрузки на вычислительные ресурсы процессора и памяти. Небольшое количество вложенных расширений может привести к экспоненциальному росту требований к памяти.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-770
Программный продукт выделяет повторно используемый ресурс или группу ресурсов от имени субъекта, не накладывая предусмотренных о
CWE-776
Программный продукт использует XML-документы и допускает определение их структуры посредством DTD (Document Type Definition), однако не контроли

Связанные уязвимости

CVE-2025-11832Распределение ресурсов без лимитов или уязвимости в технологии Azure Access BLU-IC2, Azure Access Technology BLU-IC4 позволяет наводнение.Эта проблема затрагивает BLU-IC2: до 1,19.5; BLU-IC4: до 1.19.5.
CVE-2026-31283В Totara LMS v19.1.5 и ранее забытый пароль API не реализует ограничение тарифа для целевого адреса электронной почты, который можно использовать для атаки Email Bombing. ПРИМЕЧАНИЕ: Позиция Поставщика заключается в том, что конфигурация pwresettime по умолчанию до 30 минут, конфигурация pwresettime представляет собой жесткий контроль, применяемый с помощью флага PWRESET_STATUS_ALREADYSENT, и никаких дальнейших сообщений электронной почты с перезагрузкой пароля не отправляется, если этот флаг активен для конкретного адреса электронной почты.
CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.
CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.
CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.
CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.
CVE-2019-19144Уязвимость XML External Entity Injection в устройствах Quantum DXi6702 версии 2.3.0.3 (11449-53631 Build304) позволяет неаутентифицированному злоумышленнику читать произвольные файлы на устройстве с правами root [1]. Источники: - [1] https://www.quantum.com/products/disk-basedbackup/dxi6700/index.aspx - [2] https://github.com/atredispartners/advisories/blob/master/ATREDIS-2019-0004.md
CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.
CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.
CVE-2014-2228Расширение XStream в HP Fortify SCA до версии 2.2 RC3 позволяет удаленным злоумышленникам выполнять произвольный код через небезопасную десериализацию XML-сообщений.
CVE-2013-4335opOpenSocialPlugin 0.8.2.1, > 0.9.9.2, 0.9.13, 1.2.6: Множественные уязвимости XML External Entity Injection.
CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.