CAPEC-6 · Внедрение аргументов

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-6СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Внедрение аргументов

Злоумышленник изменяет поведение или состояние целевого приложения путём внедрения данных или синтаксиса команд через непроверяемые и нефильтруемые аргументы открытых сервисов или методов.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Программный продукт формирует команду, структуру данных или запись полностью или частично с использованием входных данных от выш�

Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к�

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные эле�

Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые запрещены политикой

Продукт задаёт регулярное выражение таким образом, что данные сопоставляются или сравниваются некорректно.

Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор

Связанные уязвимости

CVE-2026-49261Сервер MariaDB - это разработанная сообществом форк сервера MySQL. Версии 10.6.1 - 10.6.26, 10.11.1 - 10.11.17, 11.4.1 - 11.4.11, 11.8.1 - 11.8.7 и 12.3.1 с `wsrep_notify_cmd` включительно выполняли бы команды оболочки, встроенные в название узла синего. Это исправлено в пунктах 10.6.27, 10.11.18, 11.4.12, 11.8.8 и 12.3.2. В качестве обходного пути любой, кто не может обновиться сейчас, должен отключать `wsrep_notify_cmd`.

CVE-2026-49185Тема обмена сообщениями FieldX MDM adb передает непроверенные полезные нагрузки непосредственно в Runtime.exec(), что позволяет вводить команду/инструкцию.

CVE-2026-41900OpenLearnX - это децентрализованная платформа для обучения и оценки с открытым исходным кодом. До версии 2.0.3 в среде выполнения кода OpenLearnX была идентифицирована уязвимость удаленного выполнения кода (RCE), что позволяло осуществлять побег из песочницы и произвольное выполнение команд. Эта проблема была исправлена в версии 2.0.3.

CVE-2026-41553Модуль экспорта PDF, используемый в продуктах DHTMLX Gantt and Scheduler, уязвим для удаленного исполнения кода из-за отсутствия санации параметров «дан». Неаутентифицированный злоумышленник может ввести вредоносный код JavaScript в параметр, значение которого обрабатывается Node.js и впоследствии выполняется. Это может привести к компрометации сервера. Эта проблема была исправлена в формате PDF Export Module версии 0.7.6.

CVE-2026-34955PraisonAI - это система мультиагентных команд. До версии 4.5.97 SubprocessSandbox во всех режимах (BASIC, SRICT, NETWORK_ISOLATED) вызывает subprocess.run() с shell=True и полагается исключительно на соответствие строкообразователей для блокировки опасных команд. Блоклист не включает sh или bash в качестве автономных исполняемых файлов, что позволяет тривиальному выходу песочницы в режиме STRICT через sh -c '<command>. Этот вопрос был исправлен в версии 4.5.97.

CVE-2026-34234CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. В версиях 1.1.1 и ранее веб-установщик (public/installer/index.php) уязвим для неаутентифицированного Исполнителя удаленного кода (RCE), поскольку он выполняет проверку install.lock только после включения и выполнения файлов обработчика формы, оставляя конечные точки установщика доступными в уже установленные экземпляры. Обработчики также пропускают недезинфицированный пользовательский ввод непосредственно в команды оболочки, что позволяет злоумышленнику отправлять созданные запросы, которые выполняют произвольные команды на сервере. Уязвимость проистекает из двух комбинированных слабых мест: (1) преждевременное выполнение обработчика формы перед замком файла и (2) небезопасное использование пользовательского ввода в конструкции команды оболочки. Сообщается, что этот вопрос активно используется в дикой природе. Выпуск исправлен в версии 1.2.0.

CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.

CVE-2026-30302Модуль автоматического утверждения команд в CodeRider-Kilo содержит уязвимость ОС, что делает его механизм безопасности белого списка неэффективным. Уязвимость связана с неправильным использованием несовместимого командного парсера (библиотеки оболочек на основе Unix) для анализа команд на платформе Windows в сочетании с неспособностью правильно обрабатывать специфические для Windows CMD последовательности выхода (^). Злоумышленники могут использовать это несоответствие между логикой разбора и средой исполнения, создавая полезные нагрузки, такие как git log ^" & all_command ^". Парсер CodeRider-Kilo обманывается символами побега, неправильно интерпретируя вредоносный командный разъем (&) как находящийся в защищенном строке аргумента и, таким образом, автоматически одобряя команду. Однако основной интерпретатор Windows CMD игнорирует уклоняемые цитаты, разбирая и выполняя последующую вредоносную команду напрямую. Это позволяет злоумышленникам достичь произвольного исполнения удаленного кода (RCE) после обхода того, что кажется законной проверкой белого списка Git.

CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).

CVE-2026-25586SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 побег из песочницы возможен путем затенения с точки зрения собственности на объекте песочницы, который отключает прототип белого списка на пути доступа к собственности. Это позволяет получить прямой доступ к __proto__ и другим заблокированным свойствам прототипа, что позволяет загрязнять хост Object.prototype и постоянное воздействие поперечного песчаникового отверсту. Эта уязвимость зафиксирована в 0.8.29.

CVE-2026-25520SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 значения возврата функций не обертываются. Object.values/Object.entries можно использовать для получения Массива, содержащего конструктор Функции хоста, с помощью Array.prototype.at вы можете получить конструктор функций хостов, который может быть использован для выполнения произвольного кода за пределами песочницы. Эта уязвимость зафиксирована в пункте 0.8.29.

CVE-2026-22781TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. TinyWeb HTTP Server до версии 1.98 уязвим для инъекций команд ОС через параметры запроса в стиле CGI ISINDEX. Параметры запроса передаются в качестве аргументов командной строки в CGI, исполняемый через Windows CreateProcess(). Неаутентированный удаленный злоумышленник может выполнять произвольные команды на сервере, вводя метахарактеры оболочки Windows в HTTP-запросы. Эта уязвимость фиксируется в 1,98.

CVE-2026-10520Уязвимость ОС виндийсинга в Ivanti Sentry перед версиями R10.5.2, R10.6.2 и R10.7.1 позволяет удаленному пользователю с автономным управлением достичь удаленного выполнения кода на корнем уровне

CVE-2025-64128Уязвимость инъекции команд ОС существует из-за неполного валидация пользовательского ввода. Валидация не обеспечивается достаточное количество правил форматирования, которые могли бы позволить злоумышленникам прикладывать Произвольные данные. Это может позволить неаутентифицированному злоумышленнику делать инъекции Произвольные команды.

CVE-2025-64127Уязвимость инъекций команд ОС существует из-за недостатка санация пользовательского ввода. Приложение принимает параметры которые позже включаются в команды ОС без адекватных валидация. Это может позволить неаутентифицированному злоумышленнику казнить Произвольные команды удаленно.