V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-164ВариантНеполный
Абстракция: Вариант
Статус: Неполный
Источник ↗

Некорректная нейтрализация внутренних специальных элементов

Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует внутренние специальные элементы, которые могут быть интерпретированы непредвиденным образом при передаче нижестоящему компоненту.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2025-30177Уязвимость обхода/внедрения в Apache Camel в компоненте Camel-Undertow при определенных условиях. Эта проблема затрагивает Apache Camel: от 4.10.0 до 4.10.3 включительно, от 4.8.0 до 4.8.6 включительно. Пользователям рекомендуется обновиться до версии 4.10.3 для 4.10.x LTS и 4.8.6 для 4.8.x LTS. Компонент Camel undertow уязвим к внедрению заголовков сообщений Camel, в частности, стратегия фильтрации пользовательских заголовков, используемая компонентом, фильтрует только направление "внешнее", в то время как не фильтрует направление "внутреннее". Это позволяет злоумышленнику включать специфические заголовки Camel, которые для некоторых компонентов Camel могут изменить поведение, такие как компонент camel-bean или компонент camel-exec.
CVE-2025-29891Уязвимость обхода/инъекции в Apache Camel. Эта проблема затрагивает Apache Camel: от 4.10.0 до 4.10.2, от 4.8.0 до 4.8.5, от 3.10.0 до 3.22.4. Пользователям рекомендуется обновиться до версии 4.10.2 для 4.10.x LTS, 4.8.5 для 4.8.x LTS и 3.22.4 для 3.x релизов. Эта уязвимость присутствует в фильтре входных заголовков Camel по умолчанию, который позволяет злоумышленнику включать специфичные для Camel заголовки, которые для некоторых компонентов Camel могут изменить поведение, такие как компонент camel-bean или компонент camel-exec. Если у вас есть приложения Camel, которые напрямую подключены к Интернету через HTTP, то злоумышленник может включить параметры в HTTP-запросах, отправляемых в приложение Camel, которые преобразуются в заголовки. Заголовки могут быть как предоставлены в качестве параметров запроса для вызова методов HTTP, так и как часть полезной нагрузки вызова методов HTTP. Все известные HTTP-компоненты Camel, такие как camel-servlet, camel-jetty, camel-undertow, camel-platform-http и camel-netty-http, будут уязвимы с завода. Этот CVE связан с CVE-2025-27636: хотя у них одна и та же корневая причина и они исправлены с помощью одного и того же исправления, CVE-2025-27636 считался подверженным эксплуатации только в том случае, если злоумышленник мог добавить злонамеренные заголовки HTTP, в то время как теперь мы определили, что он также уязвим через HTTP-параметры. Как в CVE-2025-27636, эксплуатация возможна только в том случае, если маршрут Camel использует определённые уязвимые компоненты.