CAPEC-88 · Внедрение команд ОС

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Документация

← Вернуться к списку

CAPEC-88СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Внедрение команд ОС

При данном типе атаки злоумышленник внедряет команды операционной системы в существующие функции приложения. Уязвимым является любое приложение, использующее непроверенные входные данные для формирования командных строк. Злоумышленник может использовать внедрение команд ОС в приложении для повышения привилегий, выполнения произвольных команд и компрометации базовой операционной системы.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт получает входные данные или данные иного рода, однако не проверяет или некорректно проверяет, обладают ли эти данные свойс

Продукт формирует команду операционной системы полностью или частично с использованием внешних входных данных из вышестоящего к�

Продукт формирует строку команды для исполнения отдельным компонентом в другой сфере управления, однако не разграничивает должны

Программный продукт выполняет сравнение двух объектов в контексте, значимом для безопасности, однако сравнение выполняется некор

Связанные уязвимости

CVE-2026-49185Тема обмена сообщениями FieldX MDM adb передает непроверенные полезные нагрузки непосредственно в Runtime.exec(), что позволяет вводить команду/инструкцию.

CVE-2026-41900OpenLearnX - это децентрализованная платформа для обучения и оценки с открытым исходным кодом. До версии 2.0.3 в среде выполнения кода OpenLearnX была идентифицирована уязвимость удаленного выполнения кода (RCE), что позволяло осуществлять побег из песочницы и произвольное выполнение команд. Эта проблема была исправлена в версии 2.0.3.

CVE-2026-41553Модуль экспорта PDF, используемый в продуктах DHTMLX Gantt and Scheduler, уязвим для удаленного исполнения кода из-за отсутствия санации параметров «дан». Неаутентифицированный злоумышленник может ввести вредоносный код JavaScript в параметр, значение которого обрабатывается Node.js и впоследствии выполняется. Это может привести к компрометации сервера. Эта проблема была исправлена в формате PDF Export Module версии 0.7.6.

CVE-2026-34955PraisonAI - это система мультиагентных команд. До версии 4.5.97 SubprocessSandbox во всех режимах (BASIC, SRICT, NETWORK_ISOLATED) вызывает subprocess.run() с shell=True и полагается исключительно на соответствие строкообразователей для блокировки опасных команд. Блоклист не включает sh или bash в качестве автономных исполняемых файлов, что позволяет тривиальному выходу песочницы в режиме STRICT через sh -c '<command>. Этот вопрос был исправлен в версии 4.5.97.

CVE-2026-34910Вредоносный субъект с доступом к сети может использовать уязвимость валидации неправильных входных данных, обнаруженную в устройствах UniFi OS, для выполнения командной инъекции.

CVE-2026-34234CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. В версиях 1.1.1 и ранее веб-установщик (public/installer/index.php) уязвим для неаутентифицированного Исполнителя удаленного кода (RCE), поскольку он выполняет проверку install.lock только после включения и выполнения файлов обработчика формы, оставляя конечные точки установщика доступными в уже установленные экземпляры. Обработчики также пропускают недезинфицированный пользовательский ввод непосредственно в команды оболочки, что позволяет злоумышленнику отправлять созданные запросы, которые выполняют произвольные команды на сервере. Уязвимость проистекает из двух комбинированных слабых мест: (1) преждевременное выполнение обработчика формы перед замком файла и (2) небезопасное использование пользовательского ввода в конструкции команды оболочки. Сообщается, что этот вопрос активно используется в дикой природе. Выпуск исправлен в версии 1.2.0.

CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.

CVE-2026-30302Модуль автоматического утверждения команд в CodeRider-Kilo содержит уязвимость ОС, что делает его механизм безопасности белого списка неэффективным. Уязвимость связана с неправильным использованием несовместимого командного парсера (библиотеки оболочек на основе Unix) для анализа команд на платформе Windows в сочетании с неспособностью правильно обрабатывать специфические для Windows CMD последовательности выхода (^). Злоумышленники могут использовать это несоответствие между логикой разбора и средой исполнения, создавая полезные нагрузки, такие как git log ^" & all_command ^". Парсер CodeRider-Kilo обманывается символами побега, неправильно интерпретируя вредоносный командный разъем (&) как находящийся в защищенном строке аргумента и, таким образом, автоматически одобряя команду. Однако основной интерпретатор Windows CMD игнорирует уклоняемые цитаты, разбирая и выполняя последующую вредоносную команду напрямую. Это позволяет злоумышленникам достичь произвольного исполнения удаленного кода (RCE) после обхода того, что кажется законной проверкой белого списка Git.

CVE-2026-27613TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. Уязвимость в версиях до 2.01 позволяет удаленным злоумышленникам без аутентификации обходить элементы безопасности CGI-параметра веб-сервера. В зависимости от конфигурации сервера и конкретного используемого CGI, воздействием является либо раскрытие исходного кода, либо удаленное выполнение кода (RCE). Любой, кто хостит CGI-скрипты (особенно интерпретируемые языки, такие как PHP), использует уязвимые версии TinyWeb, подвержен влиянии. Проблема исправлена в версии 2.01. Если обновление невозможно сразу, убедитесь, что `STRICT_CGI_PARAMS` включен (оно определено по умолчанию в `define.inc`) и/или не используйте CGI-исполнители, которые изначально принимают опасные флаги командной строки (например, `php-cgi.exe`). Если хостинг PHP, рассмотрите возможность размещения сервера за брандмауэром веб-приложения (WAF), который явно блокирует параметры строк запроса URL, которые начинаются с гифона (--`) или содержат закодированные двойные котировки (`%22`).

CVE-2026-22781TinyWeb - это веб-сервер (HTTP, HTTPS), написанный в Delphi для Win32. TinyWeb HTTP Server до версии 1.98 уязвим для инъекций команд ОС через параметры запроса в стиле CGI ISINDEX. Параметры запроса передаются в качестве аргументов командной строки в CGI, исполняемый через Windows CreateProcess(). Неаутентированный удаленный злоумышленник может выполнять произвольные команды на сервере, вводя метахарактеры оболочки Windows в HTTP-запросы. Эта уязвимость фиксируется в 1,98.

CVE-2026-21858Получение конфиденциальной информации в n8n

CVE-2026-0848Версии NLTK <=3.9.2 уязвимы для произвольного выполнения кода из-за неправильной валидации ввода в модуле StanfordSegmenter. Модуль динамически загружает внешние файлы Java .jar без проверки или песочницы. Злоумышленник может поставлять или заменять JAR-файл, что позволяет выполнять произвольный байт-код Java в момент импорта. Эта уязвимость может быть использована с помощью таких методов, как отравление моделей, атаки MITM или отравление зависимостей, что приводит к удаленному исполнению кода. Проблема возникает из-за прямого исполнения файла JAR через подпроцесс с непроверенным вводом по пути по классу, что позволяет вредоносным классам выполнять при загрузке JVM.

CVE-2025-64128Уязвимость инъекции команд ОС существует из-за неполного валидация пользовательского ввода. Валидация не обеспечивается достаточное количество правил форматирования, которые могли бы позволить злоумышленникам прикладывать Произвольные данные. Это может позволить неаутентифицированному злоумышленнику делать инъекции Произвольные команды.

CVE-2025-64127Уязвимость инъекций команд ОС существует из-за недостатка санация пользовательского ввода. Приложение принимает параметры которые позже включаются в команды ОС без адекватных валидация. Это может позволить неаутентифицированному злоумышленнику казнить Произвольные команды удаленно.

CVE-2025-64126Уязвимость инъекции команд ОС существует из-за неправильного ввода валидация. Приложение принимает параметр непосредственно от пользовательского ввода без проверки, это действительный IP-адрес или потенциально фильтрация Злоумышленники. Это может позволить неаутентифицированному злоумышленнику Введите произвольные команды.