CAPEC-77 · Манипуляция с переменными, управляемыми пользователем

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-77СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Манипуляция с переменными, управляемыми пользователем

Данная атака направлена на переменные, управляемые пользователем (DEBUG=1, PHP Globals и т. д.). Злоумышленник может переопределять переменные, используя переменные запроса, предоставляемые пользователем и применяемые непосредственно на сервере приложений без какой-либо санитизации данных. В крайних случаях злоумышленник может изменять переменные, управляющие бизнес-логикой приложения. Например, в языках наподобие PHP ряд неудачно заданных конфигураций по умолчанию может позволить пользователю переопределять переменные.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Одна или несколько системных настроек или элементов конфигурации могут контролироваться пользователем извне.

Продукт формирует полностью или частично сегмент кода на основе входных данных от вышестоящего компонента, однако не нейтрализуе�

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует синтаксис кода п

Продукт не выполняет или некорректно выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить

Схема или реализация аутентификации использует ключевые элементы данных, предполагаемые неизменяемыми, однако они могут контрол�

Приложение PHP не обеспечивает надлежащей защиты от изменения переменных из внешних источников — параметров запросов или файлов coo

Продукт получает входные данные от вышестоящего компонента, задающие атрибуты для инициализации или обновления в объекте, однако

Связанные уязвимости

CVE-2026-52704Неправильный контроль генерации кода («Введение кода») в Edgar Rojas WooCommerce PDF Invoice Builder позволяет включать удаленный код. Эта проблема затрагивает WooCommerce PDF Invoice Builder: от n/a до 2.0.8.

CVE-2026-48836Неаутентированное удаленное оформление кода (RCE) в Easy Invoice <= версии 2.1.19.

CVE-2026-4745Неправильное управление генерацией уязвимости кода («Впрушение кода») в dedibakh perf-ninja (лаборатории/микс/pgo/lua модули). Эта уязвимость связана с программными файлами ldo.C. Эта проблема затрагивает perf-ninja.

CVE-2026-45829Уязвимость инъекции кода в версии 1.0.0 или более поздних версий проекта ChromaDB Python позволяет неаутентичному злоумышленнику запускать произвольный код на сервере, отправляя вредоносный хранилище модели и true_remote_code, заданный в /api/v2/tenants/{tenants/{tenants/databases/{db}/collections endpoint.

CVE-2026-45132CloudPirates Open Source Helm Charts - это коллекция диаграмм Helm. До совершения fcf9302 рабочий процесс GitHub Actions (generate-schema.yaml) обнажает конфиденциальные учетные данные (Personal Access Token и SSH-ключ для кода с контролируемым вилкой) из-за небезопасной проверки и практики обработки учетных данных. Эта проблема была исправлена с помощью декватных fcf9302.

CVE-2026-45131CloudPirates Open Source Helm Charts - это коллекция диаграмм Helm. До совершения fcf9302 рабочий процесс GitHub Actions (pull-request.yaml) выполняет контролируемый злоумышленником код из запросов на вытягивание вилки в привилегированном контексте, раскрывая секреты хранилища, включая учетные данные и токены Docker Hub, не требуя одобрения сопровождения. Эта проблема была исправлена с помощью декватных fcf9302.

CVE-2026-45087Dalfox - это мощный сканер XSS с открытым исходным кодом и утилита, ориентированный на автоматизацию. До 2.13.0, когда dalfox запускается в режиме сервера REST API (сервера dalfox), сервер связывается с 0.0.0.0:6664 по умолчанию и не требует ключа API, если оператор явно не проходит -api-ключ. Поскольку model.Options, включая FoundAction и FoundActionShell, дезериализуется непосредственно от JSON, поставляемого злоумышленником, в POST/scan, и потому, что dalfox.iitialize явно распространяет эти два поля в конечным вариантам сканирования, не зачищая их, любой неаутентичный абонент, который может достичь порта сервера, может предоставить произвольную команду. Эта уязвимость исправлена в пункте 2.13.0.

CVE-2026-44006vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно добраться до BaseHandler.getPrototypeOf, который можно использовать для получения произвольных прототипов. Эта уязвимость фиксируется в 3.11.0.

CVE-2026-44005vm2 - это vm/sandbox с открытым исходным кодом для Node.js. От 3.9.6 до 3.10.5 мост vm2 обнажает изменчивые прокси для реальных прототипов, а затем перенаправляет песочницу записывает в базовые объекты-хозяева с другим регулируемым SeflectSet() и другимReflectDefineProperty(), что позволяет управляемому злоумышленником JavaScript работать в VM по умолчанию или унаследованном узловом мутате.11.0.

CVE-2026-43997vm2 - это vm/sandbox с открытым исходным кодом для Node.js. До 3.11.0 можно получить объект-хозяин. Существуют различные способы использования объекта хоста, чтобы избежать песочницы, одним из примеров будет использование HostObject.getOnPropertySymbols для получения Symbol(nodejs.util.inspect.custom). Эта уязвимость исправлена в 3.11.0.

CVE-2026-43898SandboxJS - это библиотека песочницы JavaScript. До 0.9.6, функции, определенные песочницами, обнажают Function.caller, позволяя песочковому коду восстановить внутренний звонок LispType.Call. Затем этот обратный звонок можно вызвать с помощью поддельного контекста и значений obj, контролируемого злоумышленником, для извлечения заблокированных статических характеристик хоста, восстановления реального конструктора функций хоста и выполнения произвольного хост- JavaScript. Эта уязвимость зафиксирована в 0.9.6.

CVE-2026-42288ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.3.2 исправление для CVE-2026-39337 является неполным. Устранение удаленного выполнения кода перед аутентичностью в мастере настройки ChurchCRM через несаниционированный DB_PASSWORD остается полностью эксплуатируемым Эта уязвимость исправлена в 7.3.2.

CVE-2026-40911WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях 29.0 и ранее сервер плагина YPTSocket WebSocket ретранслирует поставляемые злоубойком корпуса сообщений JSON каждому подключенному клиенту без санации полей `msg` или ``callback. Со стороны клиента «plugin/YPTSocket/script.js` содержит две «поглотки vall()`, питаемые непосредственно этими ретрансляционными полями (`json.msg.autoEvalCodeOnHTML` на линии 568 и `json.callback` на линии 95). Поскольку токены чеканятся для анонимных посетителей и никогда не перепроверяются за пределами расшифровки, неаутентифицированный злоумышленник может транслировать произвольный JavaScript, который выполняется в происхождении каждого подключенного в настоящее время пользователя (включая администраторов), что приводит к универсальному захвату учетной записи, краже сеанса и привилегированному исполнению действия. Компицу c08694bf62b4decceb78c711baee2609b4efd содержит исправление.

CVE-2026-39337ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1,0 критическая уязвимость удаленного выполнения кода перед аутентификацией в мастере настройки ChurchCRM позволяет неаутентичным злоумышленникам вводить произвольный код PHP во время первоначального процесса установки, что приводит к полному компрометации сервера. Переменная "$dbPassword" не дезинфицируется. Эта уязвимость существует из-за неполного исправления для CVE-2025-62521. Эта уязвимость исправлена в 7.1.0.

CVE-2026-27597Enclave - это безопасная песочница JavaScript, предназначенная для безопасного выполнения кода агента ИИ. До версии 2.11.1 можно избежать границ безопасности, установленных `@enclave-vm/core, которые могут быть использованы для достижения удаленного выполнения кода (RCE). Выпуск исправлен в версии 2.11.1.