V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-146ВариантНеполный
Абстракция: Вариант
Статус: Неполный
Источник ↗

Некорректная нейтрализация разделителей выражений и команд

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, которые могут быть интерпретированы как разделители выражений или команд при передаче нижестоящему компоненту.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-6
Внедрение аргументов
CAPEC-15
Разделители команд

Связанные уязвимости

CVE-2024-20329Уязвимость в подсистеме SSH программного обеспечения Cisco Adaptive Security Appliance (ASA) может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнять команды операционной системы от имени пользователя root. Эта уязвимость связана с недостаточной проверкой вводимых пользователем данных. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные входные данные при выполнении удаленных команд CLI через SSH. Успешная эксплуатация может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями уровня root. Злоумышленник с ограниченными привилегиями пользователя может использовать эту уязвимость для получения полного контроля над системой.
CVE-2026-22266Dell PowerProtect Data Manager, версия(ы) до 19.22, содержит(и) неправильную проверку уязвимости «Источник» канала связи в REST API. Высокий привилегированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к обходу механизма защиты.
CVE-2025-53192** НЕПОДТВЕРЖДЕНО ПРИ НАЗНАЧЕННОМ ** Неправильная нейтрализация уязвимости Expression/Command Delimiters в Apache Commons OGNL. Эта проблема затрагивает Apache Commons OGNL: все версии. При использовании API Ognl.getValue движок OGNL анализирует и оценивает предоставленное выражение с мощными возможностями, включая доступ и использование соответствующих методов, и т.п. Хотя OgnlRuntime пытается ограничить некоторые опасные классы и методы (такие как java.lang.Runtime) через блок-лист, эти ограничения не являются всеобъемлющими. Злоумышленники могут обойти ограничения, используя объекты класса, которые не охватываются блок-листом, и потенциально могут достичь произвольного выполнения кода. Поскольку этот проект выведен из эксплуатации, мы не планируем выпускать версию, которая исправит эту проблему. Пользователям рекомендуется найти альтернативу или ограничить доступ к экземпляру доверенным пользователям. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются сопровождением.
CVE-2023-20035Уязвимость в CLI программного обеспечения Cisco IOS XE SD-WAN может позволить прошедшему проверку подлинности локальному злоумышленнику выполнять произвольные команды с повышенными привилегиями. Эта уязвимость связана с недостаточной проверкой входных данных системным CLI. Злоумышленник с привилегиями для выполнения команд может воспользоваться этой уязвимостью, сначала пройдя проверку подлинности на затронутом устройстве, используя либо локальный доступ к терминалу, либо интерфейс командной оболочки управления, а затем отправив специально разработанные входные данные в системный CLI. Успешная эксплуатация может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями root. Злоумышленник с ограниченными привилегиями пользователя может использовать эту уязвимость для получения полного контроля над системой. Примечание: Для получения дополнительной информации о конкретных последствиях см. раздел "Подробности" данного бюллетеня.
CVE-2022-4055Когда xdg-mail настроен на использование thunderbird для URL-адресов mailto, неправильный анализ URL-адреса может привести к передаче thunderbird дополнительных заголовков, которые не должны быть включены в соответствии с RFC 2368. Злоумышленник может использовать этот метод для создания URL-адреса mailto, который выглядит безопасным для пользователей, но на самом деле будет прикреплять файлы при нажатии.
CVE-2024-20470Уязвимость в веб-интерфейсе управления двухпортовых гигабитных VPN-маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P Dual WAN может позволить аутентифицированному удаленному злоумышленнику выполнить произвольный код на затронутом устройстве. Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь действующие учетные данные администратора. Эта уязвимость существует из-за того, что веб-интерфейс управления недостаточно проверяет вводимые пользователем данные. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные HTTP-данные на затронутое устройство. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код от имени пользователя root в базовой операционной системе.
CVE-2023-20128Множественные уязвимости в веб-интерфейсе управления Cisco Small Business RV320 и RV325 Dual Gigabit WAN VPN Routers могут позволить аутентифицированному удаленному злоумышленнику внедрять и выполнять произвольные команды в базовой операционной системе уязвимого устройства. Эти уязвимости связаны с недостаточной проверкой вводимых пользователем данных. Злоумышленник может воспользоваться этими уязвимостями, отправив вредоносные входные данные на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды от имени пользователя root в базовой операционной системе Linux уязвимого устройства. Чтобы воспользоваться этими уязвимостями, злоумышленнику необходимо иметь действительные учетные данные администратора на уязвимом устройстве. Cisco не выпустила обновления программного обеспечения для устранения этих уязвимостей.
CVE-2023-20117Множественные уязвимости в веб-интерфейсе управления Cisco Small Business RV320 и RV325 Dual Gigabit WAN VPN Routers могут позволить аутентифицированному удаленному злоумышленнику внедрять и выполнять произвольные команды в базовой операционной системе уязвимого устройства. Эти уязвимости связаны с недостаточной проверкой вводимых пользователем данных. Злоумышленник может воспользоваться этими уязвимостями, отправив вредоносные входные данные на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды от имени пользователя root в базовой операционной системе Linux уязвимого устройства. Чтобы воспользоваться этими уязвимостями, злоумышленнику необходимо иметь действительные учетные данные администратора на уязвимом устройстве. Cisco не выпустила обновления программного обеспечения для устранения этих уязвимостей.
CVE-2025-20237Уязвимость в программном обеспечении Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD) может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в базовой операционной системе с привилегиями root-уровня. Чтобы использовать эту уязвимость, злоумышленник должен иметь действительные административные полномочия. Эта уязвимость обусловлена недостаточной валидацией команд, которые поставляются пользователем. Злоумышленник может использовать эту уязвимость, аутентифицируя устройство и отправляя созданный ввод для определенных команд. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе в качестве корня.