CWE-1289 · Некорректная проверка небезопасной эквивалентности во входных данных

CWE-1289БазаНеполный

Абстракция: База

Статус: Неполный

Некорректная проверка небезопасной эквивалентности во входных данных

Продукт получает входное значение, используемое в качестве идентификатора ресурса или иного типа ссылки, однако не проверяет или некорректно проверяет эквивалентность входных данных потенциально небезопасному значению.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2022-0675В определенных ситуациях на целевой системе может существовать неуправляемое правило с тем же комментарием, что и правило, указанное в манифесте. Это может позволить неуправляемым правилам существовать на целевой системе и оставить систему в небезопасном состоянии.

CVE-2026-39821Функции ToASCII и ToUnicode неправильно принимают этикетки, закодированные Punycode, которые декодируют на ярлык только ASCII. Например, ToUnicode("xn--example-.com") неправильно возвращает имя "example.com", а не ошибку. Такое поведение может привести к эскалации привилегий в программах, использующих пакет idna. Например, программа, которая выполняет проверки привилегий на звенье хоста ASCII, может отклонить «example.com», но разрешить «xn--example-.com». Если эта программа впоследствии преобразует имя хоста ASCII в Unicode, она непреднамеренно разрешит доступ к имени Unicode "example.com".

CVE-2026-50090Aqara Cloud OAuth Authorization Endpoint (open-cn.aqara.com/oauth/authorization) уязвима для перенаправления шунтирования из-за слабого контроля над соответствием доменам, что является примером «CWE-1289: Неправильная валидация небезопасной эквивалентности в вводе» и имеет предполагаемый CVSS CVSS:3.1/AV:N/AC:L/F/.3 Критический).

CVE-2024-422191Password 8 до версии 8.10.36 для macOS позволяет локальным злоумышленникам извлекать элементы хранилища, поскольку проверка межпроцессного взаимодействия XPC недостаточна.

CVE-2026-49942Net::CIDR::Установить версии до 0.20 для Perl не валидировали сетевые маски. Маска сетевой маски может содержать цифры Unicode, такие как арабо-индикальная (U+0661), или нецифры, которые были проигнорированы. Это может позволить сетевым маскам принимать более крупные сети. Ведущие нули также принимались, но рассматривались как десятичные, а не окталь. Это может привести к путанице в отношении того, какие сети приемлемы.

CVE-2024-45179Обнаружена проблема в za-internet C-MOR Video Surveillance 5.2401 и 6.00PL01. Из-за недостаточной проверки ввода веб-интерфейс C-MOR уязвим для атак внедрения команд ОС. Выяснилось, что различные функциональные возможности уязвимы для атак внедрения команд ОС, например, для создания новых сертификатов X.509 или установки часового пояса. Эти уязвимости внедрения команд ОС в скрипте generatesslreq.pml могут быть использованы аутентифицированным пользователем с низкими привилегиями для выполнения команд в контексте пользователя Linux www-data через метасимволы оболочки в данных HTTP POST (например, параметр city). Уязвимость внедрения команд ОС в скрипте settimezone.pml или setdatetime.pml (например, через параметр year) требует административного пользователя для веб-интерфейса C-MOR. Также, используя уязвимость повышения привилегий, можно выполнять команды в системе C-MOR с привилегиями root.

CVE-2026-39972Mercure - это протокол для продвижения обновлений данных для веб-браузеров и других HTTP-клиентов с помощью аккумулятора. До 0.22.0 уязвимость каша-ключевого столкновения в TopicSelectorStore позволяет злоумышленнику отравлять кэш результата матча, что может привести к тому, что частные обновления будут доставляться неавторизованным абонентам или блокируют доставку авторизованных. Ключ кэша был построен путем консантирования селектора темы и темы с разделителем подчеркивания. Поскольку оба селектора темы и темы могут содержать подчеркивания, две разные пары могут производить один и тот же ключ. Злоумышленник, который может подписаться на концентратор или публиковать обновления с созданными именами тем, может использовать это для обхода проверки авторизации на личных обновлениях. Эта уязвимость фиксируется в 0.22.0.

CVE-2026-27610Parse Dashboard - это автономная панель управления приложениями Parse Server. В версиях 7.3.0-alpha.42-по 9.0.0-альфа.7, «ConfigKeyCache`» использует один и тот же ключ кэша как для мастер-ключа, так и для мастер-ключа только для чтения при разрешении клавиш, типизированных функциями. При определенных условиях времени пользователь, подключенный к читу, может получить кэшированный полный мастер-ключ, или обычный пользователь может получить кэшированный мастер-ключ только для чтения. Исправление в версии 9.0.0-альфа.8 использует различные кэш-ключи для мастер-ключа и мастер-ключа только для чтения. В качестве обходного действия избегайте использования мастер-ключей, типизированных функций, или удалите блок «конфигурация агента» из конфигурации приборной панели.

CVE-2026-34080xdg-dbus-proxy - это фильтрующий прокси для соединений D-Bus. До 0,1.7 уязвимость парсера политики позволяет обойти ограничения на подслушивание. Прокси проверяет на подслушивание = истинность в правилах политики, но не справляется с подслушивающими ='true' (с пространством до знака равенства) и аналогичными случаями. Клиенты могут перехватывать сообщения D-Bus, к которые они не должны иметь доступа. Эта уязвимость зафиксирована в пункте 0.1.7.

CVE-2026-49940Net::CIDR::Установить версии до 0.20 для Perl принимать IP-адреса и маски, не относящиеся к ASCII. Цифры Unicode, такие как арабо-индикальный (U+0661), были приняты, но не были должным образом разобраны как числа. Это может позволить сетевым маскам принимать более крупные сети.

CVE-2026-45191Net::CIDR::Lite версии до 0.24 для Perl не учитывают должным образом посторонние нулевые символы в значениях маски CIDR, что может позволить обойти APC. Формы маски, такие как "/00" и "/01", пропускают валидацию и разбирают до той же префикса, что и их ненаполненное значение. См. также CVE-2026-45190.

CVE-2026-45190Net::CIDR::Lite версии до 0.24 для Perl не вдается должным образом валидирует IP-адрес и входы маски CIDR, что может позволить обойти ACL IP. Входы, содержащие задние новые или не-ASCII цифровые символы, проходят валидаторы, но затем повторно кодируются парсером на другой адрес, чем написанная строка ввода. find() и bin_find() могут в результате сопоставлять или пропускать адреса. Пример: мой $cidr = Нетто::CIDR::Lite->new(); $cidr->add("::1\n/128"); $cidr->find("::1a"); # неправильно возвращается истинным См. также CVE-2026-45191.

CVE-2024-45308HedgeDoc - это приложение для совместной работы с заметками в формате markdown в режиме реального времени с открытым исходным кодом. При использовании HedgeDoc 1 с MySQL или MariaDB можно создавать заметки с псевдонимом, совпадающим с идентификатором существующих заметок. В этом случае к затронутой существующей заметке больше нельзя получить доступ, и она эффективно скрывается новой заметкой. Когда функция freeURL включена (путем установки параметра конфигурации `allowFreeURL` или переменной среды `CMD_ALLOW_FREEURL` в значение `true`), любой пользователь с соответствующими разрешениями может создать заметку с произвольным псевдонимом, например, получив к ней доступ в браузере. При использовании MySQL или MariaDB можно создать новую заметку с псевдонимом, который соответствует идентификатору другой заметки в нижнем регистре. В этом случае HedgeDoc всегда представляет новую заметку пользователям, поскольку эти базы данных выполняют сопоставление без учета регистра и псевдоним в нижнем регистре находится первым. Эта проблема затрагивает только экземпляры HedgeDoc, которые используют MySQL или MariaDB. В зависимости от настроек разрешений экземпляра HedgeDoc, эта проблема может быть использована только зарегистрированными пользователями или всеми (включая незарегистрированных) пользователями. Для эксплуатации требуется знание идентификатора целевой заметки. Злоумышленники могут использовать эту проблему для представления пользователю манипулированной копии исходной заметки, например, заменив ссылки вредоносными. Злоумышленники также могут использовать эту проблему для предотвращения доступа к исходной заметке, вызывая отказ в обслуживании. Данные не теряются, так как исходное содержимое затронутых заметок все еще присутствует в базе данных. Пользователям рекомендуется обновиться до версии 1.10.0, в которой эта проблема устранена. Пользователи, которые не могут обновиться, могут отключить режим freeURL, который предотвращает эксплуатацию этой проблемы. Влияние также можно ограничить, ограничив создание заметок freeURL только доверенными, зарегистрированными пользователями, включив `requireFreeURLAuthentication`/`CMD_REQUIRE_FREEURL_AUTHENTICATION`.

CVE-2026-3563Неправильная валидация ввода в конфигурация приложений и конечных точек в PowerShell Universal до 2026.1.4 позволяет аутентифицированному пользователю с разрешениями создавать или изменять Приложения или Конечные точки для переопределения существующих маршрутов приложений или систем, что приводит к непреднамеренной маршрутизации запроса и отказу в обслуживании через противоречивый путь URL.

CVE-2026-22569Неправильная конфигурация запуска затронутых версий Zscaler Client Connector в Windows может привести к ограниченному объему трафика в редких случаях.