V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-1286БазаНеполный
Абстракция: База
Статус: Неполный
Источник ↗

Некорректная проверка синтаксической корректности входных данных

Продукт получает входные данные, которые должны быть правильно сформированы — то есть соответствовать определённому синтаксису, — однако не проверяет или некорректно проверяет их соответствие этому синтаксису.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-66
Внедрение SQL-кода
CAPEC-676
Внедрение NoSQL-кода

Связанные уязвимости

CVE-2025-41719Низкоуровневый удалённый атакующий может испортить хранилище пользователей веб‑сервера на устройстве, задав последовательность неподдерживаемых символов, что приводит к удалению всех ранее сконфигурированных пользователей и созданию учётной записи администратора с известным паролем по умолчанию. Уязвимость позволяет повысить привилегии, удалённо эксплуатировать устройство и нарушить его целостность, доступность и конфиденциальность. Для устранения необходимо обновить встроенную прошивку до версии 3.2.0 или новее и использовать CASE Suite версии 5.2 SR5 или новее [1]. Источники: - [1] https://sauter.csaf-tp.certvde.com/.well-known/csaf/white/2025/vde-2025-060.json
CVE-2021-31988Неправильно проверяется параметр, управляемый пользователем и связанный с функциональностью тестирования SMTP, что позволяет добавлять управляющие символы возврата каретки и перевода строки (CRLF) и включать произвольные заголовки SMTP в сгенерированное тестовое электронное письмо.
CVE-2026-33778Неправильная проверка уязвимости Syntactic Correctness of Input в библиотеке IPsec, используемой в библиотеке iPhone и потребляемой Juniper Networks OS на серии SRX и MX, позволяет неавторизованному сетевому злоумышленнику вызвать полный отказ в обслуживании (DoS). Если затронутое устройство получает специально уроду первый пакет ISAKMP от инициатора, процесс kmd/ked разобьется и перезапустится, что на мгновение предотвращает создание новых ассоциаций безопасности (SA). Повторная эксплуатация этой уязвимости приводит к полной неспособности установить новые VPN-соединения. Эта проблема затрагивает Junos OS на Серии SRX и серии MX: * все версии перед 22.4R3-S9, * 23.2 версия до 23.2R2-S6, * версия 23.4 до 23.4R2-S7, * 24.2 версии перед 24.2R2-S4, * 24.4 версии перед 24.4R2-S3, * 25.2 версии до 25.2R1-S2, 25.2R2.
CVE-2026-21917Неправильная валидация синтаксической корректности уязвимости входных данных в модуле веб-филиляции Juniper Networks Junos OS на серии SRX позволяет неаутентифицированному сетевому злоумышленнику вызвать отказ в обслуживании (DoS). Если устройство SRX, настроенное для веб-фильтринга UTM, получает специально деформированный пакет SSL, это приведет к сбою FPC и перезапуску. Эта проблема затрагивает Junos OS в серии SRX: * 23.2 версии от 23.2R2-S2 до 23.2R2-S5,  * 23.4 версии от 23.4R2-S1 до 23.4R2-S5, * 24.2 версии до 24.2R2-S2, * 24.4 версии до 24.4R1-S3, 24.4R2. Более ранние версии Junos также затронуты, но исправление недоступно.
CVE-2025-8873На затронутых платформах под управлением Arista EOS с конфигурацией IPsec специально созданный пакет может привести к тому, что плоскость данных перестанет обрабатывать весь трафик IPsec. Самолет управления может обнаружить это условие и попытаться сбросить конвейер обработки IPsec. После сброса трафик может не возобновить обработку. Нет никакого влияния на трафик, не относивший IPsec, или на трафик IPsec, не возникающий или не прекращающийся в системе. Об этом сообщил клиент Arista.
CVE-2025-11573Бесконечный цикл в версиях библиотеки «V1.3.2» может позволить субъекту угрозы вызвать отказ в обслуживании через специально созданный ввод текста. Чтобы смягчить эту проблему, пользователи должны обновиться до версии v1.3.2. По состоянию на 20 августа 2025 года эта библиотека была устаревшей и не будет получать дальнейших обновлений.
CVE-2024-39542Уязвимость, связанная с неправильной проверкой синтаксической корректности ввода в Packet Forwarding Engine (PFE) Juniper Networks Junos OS на MX Series с MPC10/11 или LC9600, MX304 и Junos OS Evolved на ACX Series и PTX Series, позволяет не прошедшему проверку подлинности злоумышленнику, находящемуся в сети, вызвать отказ в обслуживании (DoS). Эта проблема может возникнуть в двух сценариях: 1. Если устройство, настроенное с SFLOW и ECMP, получает определенный допустимый транзитный трафик, который подлежит выборке, процесс packetio аварийно завершается, что, в свою очередь, приводит к аварийному завершению evo-aftman и приводит к остановке FPC до тех пор, пока он не будет перезапущен. (Этот сценарий применим только к PTX, но не к ACX или MX.) 2. Если устройство получает неправильно сформированный пакет CFM на интерфейсе, настроенном с CFM, процесс packetio аварийно завершается, что, в свою очередь, приводит к аварийному завершению evo-aftman и приводит к остановке FPC до тех пор, пока он не будет перезапущен. Обратите внимание, что оценка CVSS относится к формально более серьезной проблеме 1. Оценка CVSS для сценария 2: 6.5 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) Эта проблема затрагивает Junos OS: * Все версии до 21.2R3-S4, * версии 21.4 до 21.4R2, * версии 22.2 до 22.2R3-S2; Junos OS Evolved: * Все версии до 21.2R3-S8-EVO, * версии 21.4 до 21.4R2-EVO.
CVE-2024-21598Уязвимость Improper Validation of Syntactic Correctness of Input в Routing Protocol Daemon (rpd) Juniper Networks Junos OS и Junos OS Evolved позволяет злоумышленнику в сети, не прошедшему проверку подлинности, вызвать отказ в обслуживании (DoS). Если BGP update получен через установленную BGP-сессию, который содержит атрибут туннельной инкапсуляции со специально неправильно сформированным TLV, rpd аварийно завершит работу и перезапустится. Эта проблема затрагивает Juniper Networks Junos OS: * 20.4 версии 20.4R1 и более поздние версии до 20.4R3-S9; * 21.2 версии до 21.2R3-S7; * 21.3 версии до 21.3R3-S5; * 21.4 версии до 21.4R3-S5; * 22.1 версии до 22.1R3-S4; * 22.2 версии до 22.2R3-S3; * 22.3 версии до 22.3R3-S1; * 22.4 версии до 22.4R3; * 23.2 версии до 23.2R1-S2, 23.2R2; Junos OS Evolved: * 20.4-EVO версии 20.4R1-EVO и более поздние версии до 20.4R3-S9-EVO; * 21.2-EVO версии до 21.2R3-S7-EVO; * 21.3-EVO версии до 21.3R3-S5-EVO; * 21.4-EVO версии до 21.4R3-S5-EVO; * 22.1-EVO версии до 22.1R3-S4-EVO; * 22.2-EVO версии до 22.2R3-S3-EVO; * 22.3-EVO версии до 22.3R3-S1-EVO; * 22.4-EVO версии до 22.4R3-EVO; * 23.2-EVO версии до 23.2R1-S2-EVO, 23.2R2-EVO; Эта проблема не затрагивает Juniper Networks * Junos OS версии до 20.4R1; * Junos OS Evolved версии до 20.4R1-EVO. Это связанная, но отдельная проблема, чем та, что описана в JSA79095.
CVE-2026-6442Неправильная проверка команд bash в версиях Snowflake Cortex Code CLI до 1.0.25 позволяла выполнять последующие команды за пределами песочницы. Злоумышленник может использовать это, встраивая специально созданные команды в ненадежный контент, такой как вредоносный репозиторий, в результате чего агент CLI выполняет произвольный код на локальном устройстве без согласия пользователя. Эксплуатация недетерминистична и зависит от модели. Исправление автоматически применяется при перезапуске без необходимости действий пользователя.
CVE-2024-0218Уязвимость отказа в обслуживании (Dos) в Nozomi Networks Guardian, вызванная неправильной проверкой ввода в определенных полях, используемых в функциональности разбора Radius нашего IDS, позволяет неаутентифицированному злоумышленнику, отправляющему специально созданные искаженные сетевые пакеты, привести к тому, что модуль IDS перестанет обновлять узлы, ссылки и ресурсы. Сетевой трафик может не анализироваться до перезапуска модуля IDS.
CVE-2023-32649Уязвимость типа "отказ в обслуживании" (Denial of Service, DoS) в Nozomi Networks Guardian и CMC, из-за неправильной проверки ввода в определенных полях, используемых в функциональности Asset Intelligence нашего IDS, позволяет неаутентифицированному злоумышленнику вывести из строя модуль IDS, отправляя специально созданные вредоносные сетевые пакеты. В течение (ограниченного) периода времени до автоматического перезапуска модуля IDS сетевой трафик может не анализироваться.
CVE-2024-26507Проблема в FinalWire AIRDA Extreme, AIDA64 Engineer, AIDA64 Business, AIDA64 Network Audit v.7.00.6700 и более ранних версиях позволяет локальному злоумышленнику повысить привилегии через вызов DeviceIoControl, связанный с компонентами MmMapIoSpace, IoAllocateMdl, MmBuildMdlForNonPagedPool или MmMapLockedPages.
CVE-2026-7307В Кейклоаке был обнаружен недостаток. Удаленный, неаутентифицированный злоумышленник может отправить специально созданный XML-вход на конечную точку языка разметки безопасности (SAML). Этот вредоносный ввод может вызвать высокое использование процессора и голодание потока работника, что приводит к отказу в обслуживании (DoS), когда сервер становится недоступным.
CVE-2026-40198Net::CIDR::Lite версии до 0.23 для Perl не подтверждает количество групп IPv6, что может позволить обойти ACL IP. _pack_ipv6() не проверяет, что несжатые IPv6 адреса (без ::) имеют ровно 8 групп. Принимаются такие входы, как «abcd», «1:2:2:3:3:3:5:7» и производят упакованные значения неправильной длины (3, 7 или 15 байтов вместо 17). Упакованные значения используются внутри для маски и операций сравнения. find() и bin_find() используют сравнение строк Perl (lt/gt) на этих значениях, а сравнение строк различной длины дает неправильные результаты. Это может привести к тому, что find() неправильно сообщить адрес как внутри или снаружи диапазона. Пример: мой $cidr = Net::CIDR::Lite->new(::/8"); $cidr->find("1:2:3"); # неверный ввод, неправильно возвращает истинный Это тот же класс вводной валидации, что и CVE-2021-47154 (IPv4 ведущие нули), ранее зафиксированный в этом модуле. См. также CVE-2026-40199, связанный с этим вопросом в той же функции, затрагивающей IPv4, отображаемую IPv6-адресами.
CVE-2025-30415Отказ в обслуживании из-за неправильной обработки искаженных входных данных. Следующие продукты подвержены влиянию: Acronis Cyber Protect Cloud Agent (Linux, macOS, Windows) до сборки 40077. Источники: - [1] https://security-advisory.acronis.com/advisories/SEC-8646