CWE-1100БазаНеполный
Недостаточная изоляция системно-зависимых функций
Продукт или код не изолирует системно-зависимую функциональность в отдельные самостоятельные модули.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-3466В langgenius/dify версии от 1.1.0 до 1.1.2 обнаружена уязвимость, связанная с несанитированными входными данными в узле кода, что позволяет выполнить произвольный код с полными правами root. Уязвимость возникает из-за возможности переопределить глобальные функции в JavaScript, такие как parseInt, до наложения ограничений безопасности [1].
Проблема решена в версии 1.1.3.
Источники:
- [1] https://huntr.com/bounties/f8dc17a3-5536-4944-a680-24070903cd2d
- [2] https://github.com/langgenius/dify/commit/1be0d26c1feb4bcbbdd2b4ae4eeb25874aadaddb
CVE-2024-9612В danswer-ai/danswer v0.3.94 администраторы могут устанавливать видимость страниц в рабочей области, включая страницу поиска. Когда страница поиска устанавливается как невидимая, обычные пользователи не могут видеть страницу поиска или получать доступ к ее функционалу через интерфейс. Однако бэкэнд не проверяет статус видимости страницы поиска. Следовательно, злоумышленники могут напрямую вызывать API для доступа к функционалу, предоставляемому страницей поиска, обходя ограничения видимости, установленные администратором.