CWE-172КлассЧерновик
Ошибка кодирования
Продукт некорректно кодирует или декодирует данные, что приводит к непредвиденным значениям.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
CAPEC-3
Использование ведущих «фантомных» символьных последовательностей для обхода фильтров входных данных
CAPEC-52
Внедрение нулевых байтов
CAPEC-53
Постфикс, нулевое завершение и обратный слеш
CAPEC-64
Использование слешей и URL-кодирования совместно для обхода логики проверки
CAPEC-71
Использование Unicode-кодирования для обхода логики проверки
CAPEC-72
URL-кодирование
CAPEC-78
Использование экранированных слешей в альтернативных кодировках
CAPEC-80
Использование UTF-8 кодирования для обхода логики проверки
CAPEC-120
Двойное кодирование
CAPEC-267
Использование альтернативного кодирования
Связанные уязвимости
CVE-2019-9636Python 2.7.x до 2.7.16 и 3.x до 3.7.2 подвержены следующему: Неправильная обработка кодировки Unicode (с неправильным netloc) во время нормализации NFKC. Возможные последствия: Раскрытие информации (учетные данные, файлы cookie и т. д., которые кэшируются для данного имени хоста). Компоненты: urllib.parse.urlsplit, urllib.parse.urlparse. Вектор атаки: Специально созданный URL-адрес может быть неправильно проанализирован для поиска файлов cookie или данных аутентификации и отправки этой информации на другой хост, чем при правильном анализе. Это исправлено в: v2.7.17, v2.7.17rc1, v2.7.18, v2.7.18rc1; v3.5.10, v3.5.10rc1, v3.5.7, v3.5.8, v3.5.8rc1, v3.5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.9, v3.6.9rc1; v3.7.3, v3.7.3rc1, v3.7.4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9.
CVE-2019-10160В python после коммита d537ab0ff9767ef024f26246899728f0116b1ec3 была обнаружена регрессия безопасности CVE-2019-9636, затрагивающая версии 2.7, 3.5, 3.6, 3.7 и с v3.8.0a4 по v3.8.0b1, которая по-прежнему позволяет злоумышленнику использовать CVE-2019-9636, злоупотребляя частями URL-адреса, относящимися к пользователю и паролю. Когда приложение анализирует предоставленные пользователем URL-адреса для хранения файлов cookie, учетных данных аутентификации или другой информации, злоумышленник может предоставить специально созданные URL-адреса, чтобы заставить приложение находить информацию, связанную с хостом (например, файлы cookie, данные аутентификации), и отправлять их на другой хост, чем тот, куда оно должно было, в отличие от того, если бы URL-адреса были правильно проанализированы. Результат атаки может варьироваться в зависимости от приложения.
CVE-2016-6691service/jni/com_android_server_wifi_Gbk2Utf.cpp в модуле Qualcomm Wi-Fi gbk2utf в Android до 2016-10-05 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой фреймворка) или, возможно, оказывать другое не указанное воздействие через точку доступа, имеющую неправильно сформированный SSID с кодировкой GBK, также известную как внутренняя ошибка Qualcomm CR 978452.
CVE-2012-0828Переполнение буфера на основе кучи в Xchat-WDK до 1499-4 (2012-01-18) xchat 2.8.6 на архитектуре Maemo может позволить удаленным злоумышленникам вызывать отказ в обслуживании (сбой клиента xchat) или выполнять произвольный код через строку UTF-8 с сервера, содержащую символы за пределами основной многоязыковой плоскости (BMP).
CVE-2025-27110Libmodsecurity является одним из компонентов проекта ModSecurity v3. Код библиотеки служит интерфейсом для соединителей ModSecurity, принимающих веб-трафик и применяющих традиционную обработку ModSecurity. Ошибка, которая существует только в Libmodsecurity3 версии 3.0.13, означает, что в 3.0.13 Libmodsecurity3 не может декодировать закодированные HTML-сущности, если они содержат ведущее ноль. Версия 3.0.14 содержит исправление. Известные обходные пути отсутствуют.
CVE-2019-12402Алгоритм кодирования имен файлов, используемый внутри Apache Commons Compress 1.15 - 1.18, может войти в бесконечный цикл при столкновении со специально созданными входными данными. Это может привести к атаке типа "отказ в обслуживании", если злоумышленник может выбирать имена файлов внутри архива, созданного Compress.
CVE-2016-4574Ошибка off-by-one в функции append_utf8_value в декодере DN (dn.c) в Libksba до версии 1.3.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (чтение за пределами границ) через недопустимые данные в кодировке UTF-8. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2016-4356.
CVE-2016-4356Функция append_utf8_value в декодере DN (dn.c) в Libksba версий до 1.3.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (чтение за пределами границ), очищая старший бит байта после недопустимых данных, закодированных в utf-8.
CVE-2019-12677Уязвимость в функции Secure Sockets Layer (SSL) VPN Cisco Adaptive Security Appliance (ASA) Software может позволить аутентифицированному удаленному злоумышленнику вызвать отказ в обслуживании (DoS), который предотвращает создание новых соединений SSL/Transport Layer Security (TLS) с уязвимым устройством. Уязвимость связана с некорректной обработкой строк, закодированных в Base64. Злоумышленник может воспользоваться этой уязвимостью, открыв множество сеансов SSL VPN на уязвимом устройстве. Злоумышленнику потребуются действующие учетные данные пользователя на уязвимом устройстве, чтобы воспользоваться этой уязвимостью. Успешная эксплуатация может позволить злоумышленнику перезаписать специальную область системной памяти, что в конечном итоге приведет к ошибкам выделения памяти для новых сеансов SSL/TLS на устройстве, предотвращая успешное установление этих сеансов. Для восстановления после этого состояния требуется перезагрузка устройства. Установленные SSL/TLS-соединения с устройством и SSL/TLS-соединения через устройство не затрагиваются. Примечание. Хотя эта уязвимость находится в функции SSL VPN, успешная эксплуатация этой уязвимости повлияет на все новые сеансы SSL/TLS с устройством, включая сеансы управления.
CVE-2026-42926Когда NGINX Open Source настроен на прокси-трафик HTTP/2 путем установки proxy_http_version на 2 и также использует proxy_set_body, злоумышленник может быть в состоянии впрыснуть заголовки кадров и байты полезной нагрузки в вышестоящий провод. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2019-15604Неправильная проверка сертификата в Node.js 10, 12 и 13 приводит к прерыванию процесса при отправке созданного сертификата X.509.
CVE-2019-11721Символ Unicode latin 'kra' можно использовать для подмены стандартного символа 'k' в адресной строке. Это позволяет проводить атаки с подменой домена, поскольку они не отображаются как текст punycode, что приводит к путанице пользователей. Эта уязвимость затрагивает Firefox < 68.
CVE-2019-11720Некоторые символы Unicode неправильно обрабатываются как пробелы во время анализа веб-контента вместо того, чтобы вызывать ошибки анализа. Это позволяет обрабатывать вредоносный код, избегая фильтрации межсайтового скриптинга (XSS). Эта уязвимость затрагивает Firefox < 68.
CVE-2018-7173Большой цикл в JBIG2Stream::readSymbolDictSeg в xpdf 4.00 позволяет злоумышленнику вызвать отказ в обслуживании через определенный файл из-за ненадлежащего декодирования.
CVE-2016-3829Декодер ih264d в mediaserver в Android 6.x до 2016-08-01 не инициализирует определенные члены структуры, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (зависание или перезагрузка устройства) через специально созданный медиафайл, также известное как внутренняя ошибка 29023649.