CWE-140БазаЧерновик
Некорректная нейтрализация разделителей
Продукт не нейтрализует или некорректно нейтрализует разделители.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-6157Неправильная нейтрализация разделителей команд livestatus в ajax_search в Checkmk <= 2.0.0p39, < 2.1.0p37 и < 2.2.0p15 позволяет авторизованным пользователям выполнять произвольные команды livestatus.
CVE-2023-6156Неправильная нейтрализация разделителей команд livestatus во временной шкале доступности в Checkmk <= 2.0.0p39, < 2.1.0p37 и < 2.2.0p15 позволяет авторизованным пользователям выполнять произвольные команды livestatus.
CVE-2023-38488Kirby — это система управления контентом. Уязвимость в версиях до 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 и 3.9.6 затрагивает все сайты Kirby, у которых могут быть потенциальные злоумышленники в группе аутентифицированных пользователей панели или которые позволяют внешним посетителям обновлять файл содержимого Kirby (например, через контактную форму или форму комментариев). Сайты Kirby *не* подвержены уязвимости, если они не разрешают доступ на запись ненадежным пользователям или посетителям.
Внедрение поля в реализацию хранилища содержимого — это тип уязвимости, который позволяет злоумышленникам с доступом на запись содержимого перезаписывать поля содержимого, которые разработчик сайта не предполагал изменять. На сайте Kirby это можно использовать для изменения содержимого сайта, нарушения поведения сайта или внедрения вредоносных данных или кода. Точный риск для безопасности зависит от типа поля и использования.
Kirby по умолчанию хранит содержимое сайта, страниц, файлов и пользователей в текстовых файлах. Текстовые файлы используют формат KirbyData, в котором каждое поле разделено символами новой строки и строкой с четырьмя тире (`----`). При чтении файла KirbyData затронутый код сначала удаляет последовательность Unicode BOM из содержимого файла, а затем разделяет содержимое на поля с помощью разделителя полей.
При записи в файл KirbyData разделители полей в данных полей экранируются, чтобы предотвратить вмешательство пользовательского ввода в структуру полей. Однако этот механизм экранирования можно обмануть, включив последовательность Unicode BOM в разделитель полей (например, `--\xEF\xBB\xBF--`). При записи это не определялось как разделитель, но поскольку BOM удалялся во время чтения, злоумышленники могли использовать это для внедрения других данных полей в файлы содержимого.
Поскольку каждое поле может быть определено только один раз для каждого файла содержимого, эта уязвимость затрагивает только поля в файле содержимого, которые были определены выше уязвимого поля, доступного для записи пользователем, или не определены вообще. Поля, определенные ниже уязвимого поля, переопределяют внедренное содержимое поля и, следовательно, уже были защищены.
Проблема была исправлена в Kirby 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 и 3.9.6. Во всех упомянутых выпусках разработчики исправили затронутый код, чтобы удалять последовательность Unicode BOM только в начале файла. Это устраняет уязвимость как для вновь созданных, так и для существующих файлов содержимого.
CVE-2023-31208Неправильная нейтрализация разделителей команд livestatus в RestAPI в Checkmk < 2.0.0p36, < 2.1.0p28 и < 2.2.0b8 (бета-версия) позволяет выполнять произвольные команды livestatus для авторизованных пользователей.
CVE-2024-42392Неправильная нейтрализация уязвимости разделителей в Cesanta Mongoose Web Server v7.14 позволяет вызвать ошибку бесконечного цикла, если входная строка содержит неожиданные символы.
CVE-2024-42385Неправильная нейтрализация уязвимости разделителей в Cesanta Mongoose Web Server v7.14 позволяет вызвать запись в память за пределами буфера, если PEM-сертификат содержит неожиданные символы.
CVE-2025-52989Уязвимость неправильной нейтрализации разделителей в пользовательском интерфейсе Junos OS и Junos OS Evolved от Juniper Networks позволяет локальному авторизованному злоумышленнику с высокими привилегиями изменять конфигурацию системы [1].
Пользователь с ограниченными правами конфигурации и фиксации, используя специально созданную команду аннотации конфигурации, может изменить любую часть конфигурации устройства.
Источники:
- [1] https://supportportal.juniper.net/JSA100096
CVE-2025-48879Уязвимости в OctoPrint версий до 1.11.1 включительно позволяют любому неаутентифицированному атакующему отправить манипулированный поврежденный запрос multipart/form-data в OctoPrint и через это сделать компонент веб-сервера неработоспособным. Проблема может быть вызвана поврежденным запросом multipart/form-data, в котором отсутствует конечная граница, для любого из конечных точек OctoPrint, реализованных через обработчик запросов octoprint.server.util.tornado.UploadStorageFallbackHandler. Обработчик запроса попадает в бесконечный цикл, ища часть запроса, которая никогда не придет. Поскольку Tornado является однопоточным, это фактически блокирует весь веб-сервер. Уязвимость была исправлена в версии 1.11.2 [1].
Источники:
- [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-9wj4-8h85-pgrw
- [2] https://github.com/OctoPrint/OctoPrint/commit/c9c35c17bd820f19c6b12e6c0359fc0cfdd0c1ec
CVE-2025-47779Asterisk - это открытая система частной телефонной станции (PBX). В версиях Asterisk до 18.26.2, 20.14.1, 21.9.1 и 22.4.1, а также в версиях certified-asterisk до 18.9-cert14 и 20.7-cert5, запросы SIP типа MESSAGE (RFC 3428) не проходят должную аутентификацию. Аутентифицированный злоумышленник может подделать любую идентичность пользователя, чтобы отправить спам-сообщения пользователю с его токеном авторизации [1]. Это может привести к спаму и создать условия для социальной инженерии, фишинга и других атак. В версиях 18.26.2, 20.14.1, 21.9.1 и 22.4.1 Asterisk и версиях 18.9-cert14 и 20.7-cert5 certified-asterisk проблема исправлена.
Источники:
- [1] https://github.com/asterisk/asterisk/security/advisories/GHSA-2grh-7mhv-fcfw
- [2] https://github.com/asterisk/asterisk/blob/master/configs/samples/pjsip.conf.sample
CVE-2024-6542Неправильная нейтрализация разделителей команд livestatus в mknotifyd в Checkmk <= 2.0.0p39, < 2.1.0p47, < 2.2.0p32 и < 2.3.0p11 позволяет выполнять произвольные команды livestatus.
CVE-2024-42482fish-shop/syntax-check - это действие GitHub для проверки синтаксиса файлов fish shell. Неправильная нейтрализация разделителей во входных данных `pattern` (в частности, разделителя команд `;` и символов подстановки команд `(` и `)`) означает, что возможно произвольное внедрение команд путем изменения входного значения, используемого в рабочем процессе. Это может привести к раскрытию или эксфильтрации конфиденциальной информации из средства запуска рабочего процесса, чего можно достичь, например, отправив переменные среды во внешнюю сущность. Рекомендуется пользователям обновиться до исправленной версии `v1.6.12` или последней выпущенной версии `v2.0.0`, однако исправление может быть возможным за счет тщательного контроля рабочих процессов и входного значения `pattern`, используемого этим действием.
CVE-2024-38865Неправильная нейтрализация разделителей команд livestatus в конкретном эндпоинте RestAPI Checkmk до версий 2.2.0p39, 2.3.0p25 и 2.1.0p51 (EOL) позволяет выполнять произвольные команды livestatus. Для эксплуатации уязвимости злоумышленник должен иметь контактную группу, назначенную его учетной записи пользователя, и событие должно исходить от хоста с той же контактной группой или от события, сгенерированного с неизвестным хостом [1].
Источники:
- [1] https://checkmk.com/werk/17028
CVE-2026-33457Инъекция Livestatus на странице графика прогнозирования в Checkmk <2.5.0b4, <2.4.0p26 и <2.3.0p47 позволяет аутентифицированному пользователю вводить произвольные команды Livestatus через созданный параметр названия службы из-за недостаточной дезинфекции значения описания службы.
CVE-2026-33455Инъекция Livestatus в мониторинге быстрого поиска в Checkmk <2.5.0b4 позволяет аутентифицированному злоумышленнику вводить команды livestatus через поисковый запрос из-за недостаточной дезинфекции ввода в плагинах фильтра поиска.
CVE-2025-32918Уязвимость неправильной нейтрализации разделителей команд Livestatus в конечной точке автозаполнения в RestAPI версий Checkmk <2.4.0p6, <2.3.0p35, <2.2.0p44 и 2.1.0 (EOL) позволяет аутентифицированному пользователю внедрять произвольные команды Livestatus.
Источники:
- [1] https://checkmk.com/werk/17987