CAPEC-76 · Манипуляция с вводом для обращений к файловой системе

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-76ДетальныйЧерновик

Абстракция: Детальный

Статус: Черновик

Источник ↗

Манипуляция с вводом для обращений к файловой системе

Злоумышленник манипулирует входными данными, которые целевое программное обеспечение передаёт в вызовы файловой системы операционной системы. Цель — получить доступ и, возможно, модифицировать области файловой системы, к которым целевое программное обеспечение не должно было предоставлять доступ.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Одна или несколько системных настроек или элементов конфигурации могут контролироваться пользователем извне.

Продукт использует внешние входные данные для формирования пути, предназначенного для идентификации файла или каталога внутри ог

Продукт использует внешние входные данные для формирования пути, который должен находиться в пределах ограниченного каталога, од�

Продукт пытается получить доступ к файлу по имени, однако не предотвращает надлежащим образом интерпретацию этого имени как ссылк

Программный продукт позволяет пользовательским входным данным управлять путями или именами файлов, используемыми в операциях с ф

Программный продукт формирует команду, структуру данных или запись полностью или частично с использованием входных данных от выш�

Программный продукт формирует команду полностью или частично с использованием входных данных от вышестоящего компонента, однако

Повышенный уровень привилегий, необходимый для выполнения таких операций, как chroot(), должен немедленно сбрасываться после заверше�

Продукт не выполняет или некорректно выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить

Продукт не проверяет должным образом, что источник данных или канала связи является допустимым.

Продукт имеет два различных источника одних и тех же данных или информации, однако использует источник с меньшей поддержкой прове�

Связанные уязвимости

CVE-2026-27897Vociferous provides cross-platform, offline speech-to-text with local AI refinement. Prior to 4.4.2, the vulnerability exists in src/api/system.py within the export_file route. The application accepts a JSON payload containing a filename and content. While the developer intended for a native UI dialog to handle the file path, the API does not validate the filename string before it is processed by the backends filesystem logic. Because the API is unauthenticated and the CORS configuration in app.py is overly permissive (allow_origins=["*"] or allowing localhost), an external attacker can bypass the UI entirely. By using directory traversal sequences (../), an attacker can force the app to write arbitrary data to any location accessible by the current user's permissions. This vulnerability is fixed in 4.4.2.

CVE-2026-2743Arbitrary File Write via Path Traversal upload to Remote Code Execution in SeppMail User Web Interface. The affected feature is the large file transfer (LFT). This issue affects SeppMail: 15.0.2.1 and before

CVE-2026-2731Path traversal and content injection in JobRunnerBackground.aspx in DynamicWeb 8 (all) and 9 (<9.19.7 and <9.20.3) allows unauthenticated attackers to execute code via simple web requests

CVE-2026-25893FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.10, an authentication bypass vulnerability in FUXA allows an unauthenticated, remote attacker to gain administrative access via the heartbeat refresh API and execute arbitrary code on the server. This issue has been patched in FUXA version 1.2.10.

CVE-2026-25885PolarLearn is a free and open-source learning program. In 0-PRERELEASE-16 and earlier, the group chat WebSocket at wss://polarlearn.nl/api/v1/ws can be used without logging in. An unauthenticated client can subscribe to any group chat by providing a group UUID, and can also send messages to any group. The server accepts the message and stores it in the group’s chatContent, so this is not just a visual spam issue.

CVE-2026-25586SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, a sandbox escape is possible by shadowing hasOwnProperty on a sandbox object, which disables prototype whitelist enforcement in the property-access path. This permits direct access to __proto__ and other blocked prototype properties, enabling host Object.prototype pollution and persistent cross-sandbox impact. This vulnerability is fixed in 0.8.29.

CVE-2026-25520SandboxJS is a JavaScript sandboxing library. Prior to 0.8.29, The return values of functions aren't wrapped. Object.values/Object.entries can be used to get an Array containing the host's Function constructor, by using Array.prototype.at you can obtain the hosts Function constructor, which can be used to execute arbitrary code outside of the sandbox. This vulnerability is fixed in 0.8.29.

CVE-2026-22557A malicious actor with access to the network could exploit a Path Traversal vulnerability found in the UniFi Network Application to access files on the underlying system that could be manipulated to access an underlying account.

CVE-2025-9118В пакете Google Cloud Dataform обнаружена уязвимость, связанная с обходом директорий. Удаленный злоумышленник может прочитать и записать файлы в репозитории других клиентов с помощью вредоносного файла package.json [1]. Источники: - [1] https://cloud.devsite.corp.google.com/dataform/docs/security-bulletins#gcp-2025-045

CVE-2025-69770A zip slip vulnerability in the /DesignTools/SkinList.aspx endpoint of MojoPortal CMS v2.9.0.1 allows attackers to execute arbitrary commands via uploading a crafted zip file.

CVE-2025-64090This vulnerability allows authenticated attackers to execute commands via the hostname of the device.

CVE-2025-64075A path traversal vulnerability in the check_token function of Shenzhen Zhibotong Electronics ZBT WE2001 23.09.27 allows remote attackers to bypass authentication and perform administrative actions by supplying a crafted session cookie value.

CVE-2025-63414A Path Traversal vulnerability in the Allsky WebUI version v2024.12.06_06 allows an unauthenticated remote attacker to achieve arbitrary command execution. By sending a crafted HTTP request to the /html/execute.php endpoint with a malicious payload in the id parameter, an attacker can execute arbitrary commands on the underlying operating system, leading to full remote code execution (RCE).

CVE-2025-61492A command injection vulnerability in the execute_command function of terminal-controller-mcp 0.1.7 allows attackers to execute arbitrary commands via a crafted input.

CVE-2025-58321Delta Electronics DIALink имеет уязвимость Directory Traversal Authentication Bypass. Источники: - [1] https://filecenter.deltaww.com/news/download/doc/Delta-PCSA-2025-00016_DIALink%20-%20Directory%20Traversal%20Authentication%20Bypass%20Vulnerability.pdf