CAPEC-492СтандартЧерновик
Экспоненциальный взрыв регулярного выражения
Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
Связанные уязвимости
CVE-2026-22239Уязвимость существует в BLUVOYIX из-за недостатков дизайна в API отправки электронной почты. Неаутентифицированный удаленный злоумышленник может использовать эту уязвимость, отправляя специально созданные HTTP-запросы на уязвимое API отправки электронной почты. Успешная эксплуатация этой уязвимости может позволить злоумышленнику отправлять нежелательные электронные письма кому-либо от имени компании.
CVE-2026-46775Уязвимость в службах данных Oracle REST (компонент: Core). Поддерживаемые версии, которые затронуты, являются 24.2.0-26.1.0. Легко эксплуатируемая уязвимость позволяет низкопривилегированному злоумышленнику с доступом к сети через HTTPS, чтобы скомпрометировать службы Oracle REST Data Services. В то время как уязвимость находится в Oracle REST Data Services, атаки могут значительно повлиять на дополнительные продукты (изменение области). Успешные атаки этой уязвимости могут привести к поглощению Oracle REST Data Services. CVSS 3.1 Базовый балл 9.9 (Влияние конфиденциальности, целостности и доступности). Вектор CVSS: (CVSS:3:31:N/AC:L/L/UI:N/S:C/C/C:H/I:H/I:H/A:H/A:H).
CVE-2025-62484Уязвимость в Zoom Workplace clients
CVE-2025-61303В системе динамического анализа RecordedFuture Triage (песочница) на базе Windows 10 v2004 и Windows 10 LTSC 2021 обнаружена уязвимость «отказ‑анализа» (Denial‑Of‑Analysis). При выполнении образца‑вредоноса `vathos_rev.exe`, который рекурсивно создаёт тысячи дочерних процессов, система логирования и отслеживания процессов быстро истощается, из‑за чего ключевые действия (выполнение PowerShell‑скриптов, обратные соединения) не записываются. Это приводит к неверным результатам анализа (оценка 1/10, отсутствие сигнатур), что может ввести в заблуждение аналитиков. Уязвимость подтверждена на двух конфигурациях: Windows 10 build 2004 и Windows 10 LTSC 2021, где наблюдалось ограничение записи поведения и отсутствие сетевых событий. Эксплуатация требует возможности перехватить запрос DNS‑записи и отдать вредоносный ответ, вызывающий рекурсию. Подробный отчёт (PDF) и пример образца доступны в репозитории. Оценка CVSS = 6.0 (средний). [1]
Источники:
- [1] https://github.com/eGkritsis/CVE-2025-61303
CVE-2025-43193Проблема была решена с улучшенной обработкой памяти. Эта проблема исправлена в macOS Sequoia 15.6, macOS Sonoma 14.7.7, macOS Ventura 13.7.7. Приложение может быть в состоянии вызвать отказ в обслуживании.
CVE-2025-24269Проблема была решена с улучшенным управлением памятью. Эта проблема исправлена в macOS Sequoia 15.4. Приложение может вызвать неожиданное завершение работы системы.
CVE-2025-24264Проблема была решена за счет улучшенного управления памятью. Эта проблема устранена в visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 и iPadOS 18.4, macOS Sequoia 15.4, Safari 18.4. Обработка злонамеренно созданного веб-контента может привести к неожиданному сбою Safari.
CVE-2025-24260Проблема была решена с помощью улучшенного управления памятью. Эта проблема исправлена в macOS Ventura 13.7.5, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Злоумышленник с привилегированными полномочиями может быть в состоянии выполнить атаку типа отказ в обслуживании.
CVE-2025-24247Проблема с путаницей типов была решена с помощью улучшенных проверок. Эта проблема исправлена в macOS Ventura 13.7.5, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Злоумышленник может вызвать неожиданное завершение работы приложения.
CVE-2025-24211Эта проблема была решена с помощью улучшенного управления памятью. Эта проблема исправлена в visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 и iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Обработка злонамеренно подготовленного видеофайла может привести к неожиданному завершению работы приложения или порче памяти процесса.
CVE-2025-24190Проблема была решена с улучшенным управлением памятью. Эта проблема исправлена в visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 и iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5. Обработка вредоносно подготовленного видеофайла может привести к неожиданному завершению приложения или повреждению памяти процесса.
CVE-2024-45166Обнаружена проблема в UCI IDOL 2 (aka uciIDOL или IDOL2) до 2.12. Из-за неправильной проверки ввода, неправильной десериализации и неправильного ограничения операций в пределах буфера памяти, IDOL2 уязвим для атак типа "отказ в обслуживании" (DoS) и, возможно, удаленного выполнения кода. Происходит нарушение доступа и перезапись EIP после пяти входов в систему.
CVE-2024-36543Некорректный контроль доступа в Kafka Connect REST API в STRIMZI Project 0.41.0 и более ранних версиях позволяет злоумышленнику отказать в обслуживании Kafka Mirroring, потенциально зеркалировать содержимое тем в свой кластер Kafka через вредоносный коннектор (в обход Kafka ACL, если он существует), и потенциально украсть учетные данные Kafka SASL, запрашивая MirrorMaker Kafka REST API.
CVE-2023-41294В модуле DP есть уязвимость перехвата службы. Успешная эксплуатация этой уязвимости может повлиять на некоторые службы Super Device.
CVE-2023-30769Обнаруженная уязвимость связана с одноранговой (p2p) связью, злоумышленники могут создавать сообщения консенсуса, отправлять их отдельным узлам и выводить их из строя. Злоумышленник может сканировать сетевые узлы с помощью сообщения getaddr и атаковать незащищенные узлы.