CAPEC-640 · Внедрение кода в существующий процесс

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-640ДетальныйСтабильный

Абстракция: Детальный

Статус: Стабильный

Источник ↗

Внедрение кода в существующий процесс

Злоумышленник использует ошибку в приложении, не проверяющем целостность выполняемого процесса, для выполнения произвольного кода в адресном пространстве отдельного активного процесса. Злоумышленник может использовать код, выполняемый в контексте другого процесса, для обращения к памяти процесса, системным/сетевым ресурсам и т. д. Цель данной атаки — уклонение от средств обнаружения и повышение привилегий путём маскировки вредоносного кода под легитимный процесс. Используемые подходы включают, но не ограничиваются: внедрение динамически подключаемых библиотек (DLL), внедрение переносимого исполняемого файла (PE), перехват выполнения потока, системные вызовы ptrace, перехват VDSO, перехват функций, рефлективную загрузку кода и другие.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Выполнение команд или загрузка библиотек из ненадёжного источника или в ненадёжной среде могут привести к тому, что приложение вы�

Продукт импортирует, подключает или включает исполняемую функциональность (например, библиотеку) из источника, находящегося за пр

Связанные уязвимости

CVE-2025-70974Fastjson до 1.2.48 неправильно обращается с autoType, потому что, когда ключ @type находится в документе JSON, и значение этого ключа - имя класса Java, могут быть звонки на определенные публичные методы этого класса. В зависимости от поведения этих методов может быть инъекция JNDI с полезной нагрузкой, поставляемой злоумышленником, расположенной в другом месте этого документа JSON. Это было использовано в дикой природе в 2023-2025 годах. ПРИМЕЧАНИЕ: Этот вопрос существует из-за неполного исправления для CVE-2017-18349. Также более поздний обход покрывается CVE-2022-25845.

CVE-2024-56346Служба IBM AIX 7.2 и 7.3 nimesis NIM master может позволить удаленному злоумышленнику выполнять произвольные команды из-за неправильного управления процессами.

CVE-2020-4561IBM Cognos Analytics 11.0 и 11.1 DQM API позволяет отправлять все запросы управления в неаутентифицированных сеансах. Это позволяет удаленному злоумышленнику, который может получить доступ к допустимой конечной точке CA, читать и записывать файлы в систему Cognos Analytics. IBM X-Force ID: 183903.

CVE-2026-27941OpenLIT - это платформа с открытым исходным кодом для ИИ-инжиниринга. До версии 1.37.1 несколько рабочих процессов GitHub Actions в хранилище OpenLIT GitHub используют событие `pull_request_target` при проверке и выполнении ненадежного кода из раздвоенных запросов. Эти рабочие процессы выполняются в контексте безопасности базового репозитория, включая привилегированный `GITHUB_TOKEN`` написанного привилегированный `GITHUB_TOKEN` и многочисленные конфиденциальные секреты (ключи API, токены базы данных/векторного магазина и ключ учетной записи службы Google Cloud). Версия 1.37.1 содержит исправление.

CVE-2020-11075В Anchore Engine версии 0.7.0 специально созданный манифест образа контейнера, полученный из реестра, можно использовать для запуска уязвимости shell escape в службе анализатора anchore engine во время процесса анализа образа. Операция анализа образа может быть выполнена только аутентифицированным пользователем через действительный запрос API к anchore engine, или если уже добавленный образ, который отслеживает anchore, изменил свой манифест для эксплуатации той же уязвимости. Успешная атака может быть использована для выполнения команд, которые выполняются в среде анализатора, с теми же разрешениями, что и у пользователя, от имени которого запущен anchore engine, включая доступ к учетным данным, которые Engine использует для доступа к своей собственной базе данных, которые имеют возможность чтения-записи, а также доступ к запущенной среде службы анализатора engien. По умолчанию Anchore Engine выпускается и развертывается как контейнер, где пользователь не является root, но если пользователи запускают Engine напрямую или явно устанавливают пользователя в 'root', то этот уровень доступа может быть получен в среде выполнения, где работает Engine. Эта проблема исправлена в версии 0.7.1.

CVE-2026-0770Langflow exec_globals Включение функциональности из ненадежной области управления Удаленность Исполнительного Исполнения. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Langflow. Аутентификация не требуется для использования этой уязвимости. Устный недостаток существует в обработке параметра exec_globals, предоставляемого к конечной точке подтверждения. Проблема возникает в результате включения ресурса из ненадежной контрольной сферы. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте корня. Это был ZDI-CAN-27325.

CVE-2025-70046Проблема, относящаяся к CWE-829: Включение функциональности из ненадежной сферы управления, была обнаружена в Miazzy oa-front-service master.

CVE-2025-36251IBM AIX 7.2 и 7.3 и IBM VIOS 3.1 и 4.1 нимш сервиса SSL/TLS могут позволить удаленному злоумышленнику выполнять произвольные команды из-за неправильного управления процессом. Это касается дополнительных векторов атаки для уязвимости, которая ранее рассматривалась в CVE-2024-56347.

CVE-2025-36250IBM AIX 7.2, и 7.3 и IBM VIOS 3.1, и сервер 4.1 NIM (ранее известный как NIM master) сервис (nimesis) могут позволить удаленному злоумышленнику выполнять произвольные команды из-за неправильного управления процессом. Это касается дополнительных векторов атаки для уязвимости, которая ранее рассматривалась в CVE-2024-56346.

CVE-2025-27668Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Приложение 20.0.1923 допускает произвольное включение содержимого через Iframe OVE-20230524-0012.

CVE-2025-0160IBM FlashSystem (IBM Storage Virtualize (8.5.0.0 через 8.5.0.13, 8.5.1.0, 8.5.2.0 через 8.5.2.3, 8.5.3.0 через 8.5.3.1, 8.5.4.0, 8.6.0.0 через 8.6.0.5, 8.6.1.0, 8.6.2.0 через 8.6.2.1, 8.6.3.0, 8.7.0.0 через 8.7.0.2, 8.7.1.0, 8.7.2.0 через 8.7.2.1) может позволить удаленному атакующему с доступом к системе выполнять произвольный Java-код из-за неправильных ограничений в сервисе RPCAdapter.

CVE-2024-38537Fides — это платформа разработки конфиденциальности с открытым исходным кодом. `fides.js`, клиентский скрипт, используемый для взаимодействия с функциями управления согласием Fides, использовал домен `polyfill.io` в очень ограниченном пограничном случае, когда он обнаруживал устаревший браузер, такой как IE11, который не поддерживал стандарт fetch. Поэтому пользователи устаревших браузеров до 2017 года, которые переходят на страницу, обслуживающую `fides.js`, могли загружать и выполнять вредоносные скрипты из домена `polyfill.io`, когда домен был скомпрометирован и обслуживал вредоносное ПО. По состоянию на момент публикации не было выявлено никаких случаев эксплуатации `fides.js` через `polyfill.io`. Уязвимость была исправлена в версии Fides `2.39.1`. Пользователям рекомендуется обновиться до этой или более поздней версии, чтобы защитить свои системы от этой угрозы. В четверг, 27 июня 2024 г., Cloudflare и Namecheap вмешались на уровне домена, чтобы гарантировать, что `polyfill.io` и его поддомены не смогут разрешиться в скомпрометированную службу, что сделало эту уязвимость неэксплуатируемой. До вмешательства на уровне домена не было обходных путей на стороне сервера, а воздействие этой уязвимости на конфиденциальность, целостность и доступность было высоким. Клиенты могли гарантировать, что они не затронуты, используя современный браузер, поддерживающий стандарт fetch.

CVE-2023-6971Плагин Backup Migration для WordPress уязвим для удаленного включения файлов в версиях с 1.0.8 по 1.3.9 через HTTP-заголовок 'content-dir'. Это позволяет неаутентифицированным злоумышленникам включать удаленные файлы на сервере, что приводит к выполнению кода. ПРИМЕЧАНИЕ: Для успешной эксплуатации этой уязвимости необходимо, чтобы в файле php.ini целевого сервера был установлен параметр 'allow_url_include' в значение 'on'. Эта функция устарела, начиная с PHP 7.4, и отключена по умолчанию, но ее все еще можно явно включить в более поздних версиях PHP.

CVE-2023-49134Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP115(V4) 5.0.4 Build 20220216 точки доступа N300 Wireless Gigabit Access Point.

CVE-2023-49133Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP225(V3) 5.1.0 Build 20220926 точки доступа AC1350 Wireless MU-MIMO Gigabit Access Point.