V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-153ВариантЧерновик
Абстракция: Вариант
Статус: Черновик
Источник ↗

Некорректная нейтрализация символов подстановки

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, которые могут быть интерпретированы как символы подстановки при передаче нижестоящему компоненту.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2025-53006DataEase - это инструмент бизнес-аналитики и визуализации данных с открытым исходным кодом. До версии 2.10.11, как в PostgreSQL, так и в Redshift, помимо таких параметров, как «разъемная фабрика» и «сокетфакторарга», есть также «sslfactory» и «sslfactoryarg» с аналогичной функциональностью. Разница заключается в том, что «слабозапность» и связанные с ними параметры должны быть срабатываны после установления соединения. Другие аналогичные параметры включают «sslhostnameverifier», «ssssswordcallback» и «authenticationPluginClassName». Этот вопрос был исправлен в 2.10.11.
CVE-2025-53005DataEase - это инструмент бизнес-аналитики и визуализации данных с открытым исходным кодом. До версии 2.10.11 в параметрах подключения к данным PostgreSQL от Dataease есть уязвимость шунтирования. Недрагоценные и slfactoryarg параметры могут вызвать уязвимость обхода. Этот вопрос был исправлен в версии 2.10.11.
CVE-2025-53004DataEase - это инструмент бизнес-аналитики и визуализации данных с открытым исходным кодом. До версии 2.10.11 в параметрах соединения Redshift Data Data Source JDBC от Dataease есть уязвимость. Недрагоценные и slfactoryarg параметры могут вызвать уязвимость обхода. Этот вопрос был исправлен в версии 2.10.11.
CVE-2025-49003DataEase - это инструмент бизнес-аналитики и визуализации данных с открытым исходным кодом. До версии 2.10.11, игрок с угрозами может воспользоваться функцией на Java, в которой символ «ı» становится «I» при преобразовании в верхнюю часть, а символ «s» становится «S» при преобразовании в верхнюю часть. Актер-угрозы, который использует тщательно продуманное сообщение, которое использует это преобразование персонажа, может вызвать удаленное выполнение кода. Уязвимость исправлена в v2.10.11. Известные обходные действия отсутствуют.
CVE-2026-9694GitLab исправил проблему в GitLab CE/EE, затрагивающую все версии с 15.9 до 18.10.8, 18.11 до 18.11.5 и 19.0 до 19.0.2, что при определенных условиях могло бы позволить неаутентичному пользователю выдавать себя за бота поддержки GitLab и вводить произвольный контент через специально созданный ответ по электронной почте Service Desk из-за неправильной нейтрализации в электронной почте.