CAPEC-64 · Использование слешей и URL-кодирования совместно для обхода логики проверки

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-64ДетальныйЧерновик

Абстракция: Детальный

Статус: Черновик

Источник ↗

Использование слешей и URL-кодирования совместно для обхода логики проверки

Данная атака использует кодирование URL в сочетании с кодированием символов слеша. Злоумышленник может воспользоваться множеством способов кодирования URL и злоупотребить его интерпретацией. URL может содержать специальные символы, требующие особой синтаксической обработки для правильной интерпретации. Специальные символы представляются с помощью символа процента, за которым следуют две цифры, обозначающие код октета исходного символа (%HEX-КОД). Например, пробел в US-ASCII представляется как %20. Это часто называют экранированием или процентным кодированием. Поскольку сервер декодирует URL из запросов, он может ограничивать доступ к некоторым путям URL, проверяя и отфильтровывая полученные URL-запросы. Злоумышленник попытается сформировать URL с последовательностью специальных символов, которая после интерпретации сервером окажется эквивалентна запрещённому URL. Защититься от данной атаки непросто, поскольку URL может содержать другие форматы кодирования, такие как UTF-8, Unicode и т. д.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт получает входные данные или данные иного рода, однако не проверяет или некорректно проверяет, обладают ли эти данные свойс

Продукт использует внешние входные данные для формирования пути, предназначенного для идентификации файла или каталога внутри ог

Программный продукт позволяет пользовательским входным данным управлять путями или именами файлов, используемыми в операциях с ф

Программный продукт формирует команду, структуру данных или запись полностью или частично с использованием входных данных от выш�

Продукт некорректно кодирует или декодирует данные, что приводит к непредвиденным значениям.

Продукт некорректно обрабатывает ситуацию, когда входные данные используют альтернативное кодирование, допустимое для сферы упр�

Продукт некорректно обрабатывает ситуацию, когда все входные данные или их часть закодированы в формате URL.

Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор

Программный продукт не обеспечивает или некорректно обеспечивает правильную структуру сообщений или данных и выполнение определ

Связанные уязвимости

CVE-2026-27897Vociferous provides cross-platform, offline speech-to-text with local AI refinement. Prior to 4.4.2, the vulnerability exists in src/api/system.py within the export_file route. The application accepts a JSON payload containing a filename and content. While the developer intended for a native UI dialog to handle the file path, the API does not validate the filename string before it is processed by the backends filesystem logic. Because the API is unauthenticated and the CORS configuration in app.py is overly permissive (allow_origins=["*"] or allowing localhost), an external attacker can bypass the UI entirely. By using directory traversal sequences (../), an attacker can force the app to write arbitrary data to any location accessible by the current user's permissions. This vulnerability is fixed in 4.4.2.

CVE-2026-2743Arbitrary File Write via Path Traversal upload to Remote Code Execution in SeppMail User Web Interface. The affected feature is the large file transfer (LFT). This issue affects SeppMail: 15.0.2.1 and before

CVE-2026-2731Path traversal and content injection in JobRunnerBackground.aspx in DynamicWeb 8 (all) and 9 (<9.19.7 and <9.20.3) allows unauthenticated attackers to execute code via simple web requests

CVE-2026-25586SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.

CVE-2026-25520SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, The return values of functions aren't wrapped. Object.values/Object.entries can be used to get an Array containing the host's Function constructor, by using Array.prototype.at you can obtain the hosts Function constructor, which can be used to execute arbitrary code outside of the sandbox. This vulnerability is fixed in 0.8.29.

CVE-2026-22557A malicious actor with access to the network could exploit a Path Traversal vulnerability found in the UniFi Network Application to access files on the underlying system that could be manipulated to access an underlying account.

CVE-2026-21858Получение конфиденциальной информации в n8n

CVE-2026-0848NLTK versions <=3.9.2 are vulnerable to arbitrary code execution due to improper input validation in the StanfordSegmenter module. The module dynamically loads external Java .jar files without verification or sandboxing. An attacker can supply or replace the JAR file, enabling the execution of arbitrary Java bytecode at import time. This vulnerability can be exploited through methods such as model poisoning, MITM attacks, or dependency poisoning, leading to remote code execution. The issue arises from the direct execution of the JAR file via subprocess with unvalidated classpath input, allowing malicious classes to execute when loaded by the JVM.

CVE-2025-9118В пакете Google Cloud Dataform обнаружена уязвимость, связанная с обходом директорий. Удаленный злоумышленник может прочитать и записать файлы в репозитории других клиентов с помощью вредоносного файла package.json [1]. Источники: - [1] https://cloud.devsite.corp.google.com/dataform/docs/security-bulletins#gcp-2025-045

CVE-2025-69770A zip slip vulnerability in the /DesignTools/SkinList.aspx endpoint of MojoPortal CMS v2.9.0.1 allows attackers to execute arbitrary commands via uploading a crafted zip file.

CVE-2025-64075A path traversal vulnerability in the check_token function of Shenzhen Zhibotong Electronics ZBT WE2001 23.09.27 allows remote attackers to bypass authentication and perform administrative actions by supplying a crafted session cookie value.

CVE-2025-63414A Path Traversal vulnerability in the Allsky WebUI version v2024.12.06_06 allows an unauthenticated remote attacker to achieve arbitrary command execution. By sending a crafted HTTP request to the /html/execute.php endpoint with a malicious payload in the id parameter, an attacker can execute arbitrary commands on the underlying operating system, leading to full remote code execution (RCE).

CVE-2025-58321Delta Electronics DIALink имеет уязвимость Directory Traversal Authentication Bypass. Источники: - [1] https://filecenter.deltaww.com/news/download/doc/Delta-PCSA-2025-00016_DIALink%20-%20Directory%20Traversal%20Authentication%20Bypass%20Vulnerability.pdf

CVE-2025-55169В менеджере WeGIA, написанном на языке программирования PHP и предназначенном для использования в организациях, говорящих на португальском языке, обнаружена уязвимость обхода пути (Path Traversal) в эндпоинте html/socio/sistema/download_remessa.php. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ к локальным файлам на сервере и конфиденциальной информации, хранящейся в config.php. Файл config.php содержит данные, которые могут быть использованы для прямого доступа к базе данных. Эта проблема была исправлена в версии 3.4.8 [1]. Источники: - [1] https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-mm3p-7573-4x4j - [2] https://github.com/LabRedesCefetRJ/WeGIA/issues/177 - [3] https://github.com/LabRedesCefetRJ/WeGIA/commit/e8476168171de2f3e047ed92bbc264c981b416b1

CVE-2025-54945An external control of file name or path vulnerability in SUNNET Corporate Training Management System before 10.11 allows remote attackers to execute arbitrary system commands via a malicious file by controlling the destination file path.