CWE-170БазаНеполный
Некорректное завершение нулём
Продукт не добавляет или некорректно добавляет нулевой символ или эквивалентный ограничитель в конец строки или массива.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2021-1411Множественные уязвимости в Cisco Jabber для Windows, Cisco Jabber для MacOS и Cisco Jabber для мобильных платформ могут позволить злоумышленнику выполнять произвольные программы в базовой операционной системе с повышенными привилегиями, получать доступ к конфиденциальной информации, перехватывать защищенный сетевой трафик или вызывать отказ в обслуживании (DoS). Дополнительную информацию об этих уязвимостях можно найти в разделе «Подробности» этого бюллетеня.
CVE-2026-8721Crypt::OpenSSL::PKCS12 версии до 1.94 для Perl усечивает пароли со встроенными NULL.
Параметры пароля в PKCS12.xs объявлены cchar *, который маршрутизирует по тип карте по умолчанию Perl на SvPV_nolen. Длина Perl отбрасывается.
C-код (или OpenSSL внутренне) вызывает strlen() в буфере. Любой байт пароля на или после первого NULL молча падает. Двоичный / KDF-полеприз / пароли HMAC теряют энтропию без каких-либо предупреждений.
CVE-2026-5067Удаленный, неаутентифицированный злоумышленник может вызвать повреждение памяти в пути обновления веб-сервера Zephyr, отправив созданный заголовок Sec-WebSocket-Key. Парсер заголовка HTTP/1 копирует заголовок в буфер фиксированного размера, используя ограниченную копию, которая не гарантирует терминацию NUL, когда длина ввода достигает размера буфера. Во время апгрейда буфер копируется в местный буфер стека и передается в strlen(); если NUL не существует входящие, strlen() считывается за пределами буфера стека и последующей контетации с магической строкой WebSocket может записывать за рамки. Это приводит к тому, что внешность чтения и записи в память о стеке, что приводит к сбою (отказу от обслуживания) и, возможно, исполнению кода. Путь доступен, когда включен CONFIG_HTTP_SERVER_WEBSOCKET.
CVE-2026-42010В гнетках был обнаружен недостаток. Серверы, настроенные с RSA-PSK (Rivest-Shamir-Adleman – Pre-Shared Key), неправомерно сопоставляют имена пользователей, содержащие символ NUL, с усеченными именами пользователей. Удаленный злоумышленник может использовать это, отправив специально созданное имя пользователя, что приведет к обходу аутентификации. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ, обходя процесс аутентификации.
CVE-2021-31886В APOGEE MBC (PPC) (BACnet) (все версии), APOGEE MBC (PPC) (P2 Ethernet) (все версии), APOGEE MEC (PPC) (BACnet) (все версии), APOGEE MEC (PPC) (P2 Ethernet) (все версии), APOGEE PXC Compact (BACnet) (все версии < V3.5.4), APOGEE PXC Compact (P2 Ethernet) (все версии < V2.8.19), APOGEE PXC Modular (BACnet) (все версии < V3.5.4), APOGEE PXC Modular (P2 Ethernet) (все версии < V2.8.19), Desigo PXC00-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC00-U (все версии >= V2.3 и < V6.30.016), Desigo PXC001-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC100-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC12-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC128-U (все версии >= V2.3 и < V6.30.016), Desigo PXC200-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC36.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC50-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC64-U (все версии >= V2.3 и < V6.30.016), Desigo PXM20-E (все версии >= V2.3 и < V6.30.016), Nucleus NET (все версии), Nucleus ReadyStart V3 (все версии < V2017.02.4), Nucleus Source Code (все версии), TALON TC Compact (BACnet) (все версии < V3.5.4), TALON TC Modular (BACnet) (все версии < V3.5.4) была выявлена уязвимость. FTP-сервер неправильно проверяет длину команды «USER», что приводит к переполнению буфера на основе стека. Это может привести к отказу в обслуживании и удаленному выполнению кода. (FSMD-2021-0010).
CVE-2021-31884Уязвимость была выявлена в APOGEE MBC (PPC) (BACnet) (Все версии), APOGEE MBC (PPC) (P2 Ethernet) (Все версии), APOGEE MEC (PPC) (BACnet) (Все версии), APOGEE MEC (PPC) (P2 Ethernet) (Все версии), APOGEE PXC Compact (BACnet) (Все версии < V3.5.4), APOGEE PXC Compact (P2 Ethernet) (Все версии < V2.8.19), APOGEE PXC Modular (BACnet) (Все версии < V3.5.4), APOGEE PXC Modular (P2 Ethernet) (Все версии < V2.8.19), Capital VSTAR (Все версии с включенными опциями Ethernet), Desigo PXC00-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC00-U (Все версии >= V2.3 и < V6.30.016), Desigo PXC001-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC100-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC12-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC128-U (Все версии >= V2.3 и < V6.30.016), Desigo PXC200-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC22-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC22.1-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC36.1-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC50-E.D (Все версии >= V2.3 и < V6.30.016), Desigo PXC64-U (Все версии >= V2.3 и < V6.30.016), Desigo PXM20-E (Все версии >= V2.3 и < V6.30.016), Nucleus NET (Все версии), Nucleus ReadyStart V3 (Все версии < V2017.02.4), Nucleus Source Code (Все версии), TALON TC Compact (BACnet) (Все версии < V3.5.4), TALON TC Modular (BACnet) (Все версии < V3.5.4). Клиентское приложение DHCP предполагает, что данные, предоставленные с параметром DHCP “Hostname”, заканчиваются NULL. В случаях, когда глобальная переменная hostname не определена, это может привести к выходу за пределы допустимого диапазона чтения, записи и условиям отказа в обслуживании. (FSMD-2021-0014)
CVE-2019-8275UltraVNC revision 1211 имеет несколько уязвимостей неправильного завершения нулем в серверном коде VNC, что приводит к доступу к данным за пределами выделенной памяти удаленными пользователями. Эта атака, по-видимому, может быть использована через сетевое подключение. Эти уязвимости были исправлены в revision 1212.
CVE-2021-31888В APOGEE MBC (PPC) (BACnet) (все версии), APOGEE MBC (PPC) (P2 Ethernet) (все версии), APOGEE MEC (PPC) (BACnet) (все версии), APOGEE MEC (PPC) (P2 Ethernet) (все версии), APOGEE PXC Compact (BACnet) (все версии < V3.5.4), APOGEE PXC Compact (P2 Ethernet) (все версии < V2.8.19), APOGEE PXC Modular (BACnet) (все версии < V3.5.4), APOGEE PXC Modular (P2 Ethernet) (все версии < V2.8.19), Desigo PXC00-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC00-U (все версии >= V2.3 и < V6.30.016), Desigo PXC001-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC100-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC12-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC128-U (все версии >= V2.3 и < V6.30.016), Desigo PXC200-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC36.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC50-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC64-U (все версии >= V2.3 и < V6.30.016), Desigo PXM20-E (все версии >= V2.3 и < V6.30.016), Nucleus NET (все версии), Nucleus ReadyStart V3 (все версии < V2017.02.4), Nucleus Source Code (все версии), TALON TC Compact (BACnet) (все версии < V3.5.4), TALON TC Modular (BACnet) (все версии < V3.5.4) была выявлена уязвимость. FTP-сервер неправильно проверяет длину команды «MKD/XMKD», что приводит к переполнению буфера на основе стека. Это может привести к отказу в обслуживании и удаленному выполнению кода. (FSMD-2021-0018).
CVE-2021-31887В APOGEE MBC (PPC) (BACnet) (все версии), APOGEE MBC (PPC) (P2 Ethernet) (все версии), APOGEE MEC (PPC) (BACnet) (все версии), APOGEE MEC (PPC) (P2 Ethernet) (все версии), APOGEE PXC Compact (BACnet) (все версии < V3.5.4), APOGEE PXC Compact (P2 Ethernet) (все версии < V2.8.19), APOGEE PXC Modular (BACnet) (все версии < V3.5.4), APOGEE PXC Modular (P2 Ethernet) (все версии < V2.8.19), Desigo PXC00-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC00-U (все версии >= V2.3 и < V6.30.016), Desigo PXC001-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC100-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC12-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC128-U (все версии >= V2.3 и < V6.30.016), Desigo PXC200-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC22.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC36.1-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC50-E.D (все версии >= V2.3 и < V6.30.016), Desigo PXC64-U (все версии >= V2.3 и < V6.30.016), Desigo PXM20-E (все версии >= V2.3 и < V6.30.016), Nucleus NET (все версии), Nucleus ReadyStart V3 (все версии < V2017.02.4), Nucleus Source Code (все версии), TALON TC Compact (BACnet) (все версии < V3.5.4), TALON TC Modular (BACnet) (все версии < V3.5.4) была выявлена уязвимость. FTP-сервер неправильно проверяет длину команды «PWD/XPWD», что приводит к переполнению буфера на основе стека. Это может привести к отказу в обслуживании и удаленному выполнению кода. (FSMD-2021-0016).
CVE-2016-5093Функция get_icu_value_internal в ext/intl/locale/locale_methods.c в PHP до версий 5.5.36, 5.6.x до 5.6.22 и 7.x до 7.0.7 не обеспечивает наличие символа '\0', что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти) или, возможно, оказать другое неуказанное воздействие через специально созданный вызов locale_get_primary_language.
CVE-2024-45288Отсутствующий символ завершения нулем в последнем элементе строкового массива nvlist может привести к записи за пределами выделенного буфера.
CVE-2024-21442Уязвимость повышения привилегий драйвера печати USB в Windows.
CVE-2025-67790Проблема была обнаружена в DriveLock 24.1 до 24.1.6, 24.2 до 24.2 и 25.1 до 25.1.5. Непривилегированный пользователь может иногда вызывать синий экран смерти (BSOD) на компьютерах с Windows, используя IOCTL и непрерывную строку.
CVE-2024-43474Уязвимость раскрытия информации в Microsoft SQL Server.
CVE-2024-31197Уязвимость неправильного завершения нулем в Open Networking Foundation (ONF) libfluid (модуль libfluid_msg). Эта уязвимость связана с программной подпрограммой fluid_msg::of10::Port:unpack.
Эта проблема затрагивает libfluid: 0.1.0.