CAPEC-43ДетальныйЧерновик
Эксплуатация множественных слоёв интерпретации входных данных
Злоумышленник передаёт целевому программному обеспечению входные данные, содержащие последовательности специальных символов, предназначенные для обхода логики проверки входных данных. Атака основана на том, что целевая система выполняет несколько проходов по входным данным, обрабатывая «слой» специальных символов на каждом проходе. Таким образом злоумышленник может замаскировать входные данные, которые в противном случае были бы отклонены как недопустимые, скрыв их за слоями специальных символов и экранирующих последовательностей, удаляемых последующими этапами обработки. Цель состоит в том, чтобы сначала обнаружить случаи, когда уровень проверки входных данных выполняется до одного или нескольких уровней синтаксического анализа. То есть пользовательский ввод может проходить через следующую логику приложения: <parser1> --> <input validator> --> <parser2>. В таких случаях злоумышленнику необходимо предоставить входные данные, которые пройдут через валидатор входных данных, но после прохождения через parser2 будут преобразованы в нечто, что валидатор должен был заблокировать.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-20
Продукт получает входные данные или данные иного рода, однако не проверяет или некорректно проверяет, обладают ли эти данные свойс
CWE-74
Программный продукт формирует команду, структуру данных или запись полностью или частично с использованием входных данных от выш
CWE-77
Программный продукт формирует команду полностью или частично с использованием входных данных от вышестоящего компонента, однако
CWE-78
Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к
CWE-179
Продукт проверяет входные данные до применения механизмов защиты, модифицирующих эти данные, что может позволить злоумышленнику
CWE-181
Продукт проверяет данные до их фильтрации, что не позволяет обнаружить данные, становящиеся недопустимыми после шага фильтрации.
CWE-183
Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые явно разрешены полит
CWE-184
Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые запрещены политикой
CWE-697
Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор
CWE-707
Программный продукт не обеспечивает или некорректно обеспечивает правильную структуру сообщений или данных и выполнение определ
Связанные уязвимости
CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.
CVE-2026-49199Созданное MQTT-сообщения может вызвать командный инъекций, что приводит к выполнению кода на исходном устройстве.
CVE-2026-49185Тема обмена сообщениями FieldX MDM adb передает непроверенные полезные нагрузки непосредственно в Runtime.exec(), что позволяет вводить команду/инструкцию.
CVE-2026-47928Версии ColdFusion 2023.19, 2025.8 и ранее подвержены влиянию неправильной валидации входа, которая может привести к произвольному исполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата изменена.
CVE-2026-42043Axios - это основанный на обещании HTTP-клиент для браузера и Node.js. До 1.15.1 и 0.31.1 злоумышленник, который может влиять на целевой URL-адрес запроса Axios, может использовать любой адрес в диапазоне 127.0.0.0/8 (кроме 127.0.0.1), чтобы полностью обойти защиту NO_PREXY. Эта уязвимость обусловлена неполной для CVE-2025-62718, эта уязвимость исправлена в 1.15.1 и 0.31.1.
CVE-2026-41900OpenLearnX - это децентрализованная платформа для обучения и оценки с открытым исходным кодом. До версии 2.0.3 в среде выполнения кода OpenLearnX была идентифицирована уязвимость удаленного выполнения кода (RCE), что позволяло осуществлять побег из песочницы и произвольное выполнение команд. Эта проблема была исправлена в версии 2.0.3.
CVE-2026-41553Модуль экспорта PDF, используемый в продуктах DHTMLX Gantt and Scheduler, уязвим для удаленного исполнения кода из-за отсутствия санации параметров «дан». Неаутентифицированный злоумышленник может ввести вредоносный код JavaScript в параметр, значение которого обрабатывается Node.js и впоследствии выполняется. Это может привести к компрометации сервера.
Эта проблема была исправлена в формате PDF Export Module версии 0.7.6.
CVE-2026-34955PraisonAI - это система мультиагентных команд. До версии 4.5.97 SubprocessSandbox во всех режимах (BASIC, SRICT, NETWORK_ISOLATED) вызывает subprocess.run() с shell=True и полагается исключительно на соответствие строкообразователей для блокировки опасных команд. Блоклист не включает sh или bash в качестве автономных исполняемых файлов, что позволяет тривиальному выходу песочницы в режиме STRICT через sh -c '<command>. Этот вопрос был исправлен в версии 4.5.97.
CVE-2026-34910Выполнение произвольного кода в UniFi OS Server
CVE-2026-34234CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. В версиях 1.1.1 и ранее веб-установщик (public/installer/index.php) уязвим для неаутентифицированного Исполнителя удаленного кода (RCE), поскольку он выполняет проверку install.lock только после включения и выполнения файлов обработчика формы, оставляя конечные точки установщика доступными в уже установленные экземпляры. Обработчики также пропускают недезинфицированный пользовательский ввод непосредственно в команды оболочки, что позволяет злоумышленнику отправлять созданные запросы, которые выполняют произвольные команды на сервере. Уязвимость проистекает из двух комбинированных слабых мест: (1) преждевременное выполнение обработчика формы перед замком файла и (2) небезопасное использование пользовательского ввода в конструкции команды оболочки. Сообщается, что этот вопрос активно используется в дикой природе. Выпуск исправлен в версии 1.2.0.
CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.
CVE-2026-30302Модуль автоматического утверждения команд в CodeRider-Kilo содержит уязвимость ОС, что делает его механизм безопасности белого списка неэффективным. Уязвимость связана с неправильным использованием несовместимого командного парсера (библиотеки оболочек на основе Unix) для анализа команд на платформе Windows в сочетании с неспособностью правильно обрабатывать специфические для Windows CMD последовательности выхода (^). Злоумышленники могут использовать это несоответствие между логикой разбора и средой исполнения, создавая полезные нагрузки, такие как git log ^" & all_command ^". Парсер CodeRider-Kilo обманывается символами побега, неправильно интерпретируя вредоносный командный разъем (&) как находящийся в защищенном строке аргумента и, таким образом, автоматически одобряя команду. Однако основной интерпретатор Windows CMD игнорирует уклоняемые цитаты, разбирая и выполняя последующую вредоносную команду напрямую. Это позволяет злоумышленникам достичь произвольного исполнения удаленного кода (RCE) после обхода того, что кажется законной проверкой белого списка Git.
CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).
CVE-2026-26015DocsGPT - это чат с GPT для документации. От версии 0.15.0 до версии 0.16.0 злоумышленник, заходящий как на официальный веб-сайт DocsGPT, так и на любой локальной и публичной развертывание, может создать вредоносную полезную нагрузку, минуя поведение «MCP-теста» для достижения произвольного удаленного выполнения кода (RCE). Этот вопрос исправлен в версии 0.16.0.
CVE-2026-25586SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 побег из песочницы возможен путем затенения с точки зрения собственности на объекте песочницы, который отключает прототип белого списка на пути доступа к собственности. Это позволяет получить прямой доступ к __proto__ и другим заблокированным свойствам прототипа, что позволяет загрязнять хост Object.prototype и постоянное воздействие поперечного песчаникового отверсту. Эта уязвимость зафиксирована в 0.8.29.