CWE-176ВариантЧерновик
Некорректная обработка кодировки Unicode
Продукт некорректно обрабатывает ситуацию, когда входные данные содержат кодировку Unicode.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2024-24691Неправильная проверка ввода в Zoom Desktop Client для Windows, Zoom VDI Client для Windows и Zoom Meeting SDK для Windows может позволить неаутентифицированному пользователю повысить привилегии через сетевой доступ.
CVE-2023-39213Неправильная нейтрализация специальных элементов в Zoom Desktop Client для Windows и Zoom VDI Client до версии 5.15.2 может позволить неаутентифицированному пользователю включить повышение привилегий через сетевой доступ.
CVE-2025-71316SQLite 'sqldiff.exe' не надежно обрабатывает то, как Microsoft Windows C преобразует символы Unicode в код-страницы ANSI. Злоумышленник может использовать опцию '-L' для загрузки произвольной DLL с помощью созданной строки аргументации командной строки, которая приводит к тому, что аргументы файлов командной строки неправильно истолкованы как параметры командной строки. Зафиксировано около 2025-12-26.
CVE-2023-24540Не все допустимые символы пробела JavaScript считаются пробелами. Шаблоны, содержащие символы пробела вне набора символов "\t\n\f\r\u0020\u2028\u2029" в контекстах JavaScript, которые также содержат действия, могут быть неправильно очищены во время выполнения.
CVE-2024-43093В методе shouldHideDocument класса ExternalStorageProvider.java обнаружена возможность обхода фильтра путей, предназначенного для защиты доступа к чувствительным каталогам, из‑за некорректной нормализации Unicode. Это позволяет локальному процессу получить доступ к каталогам Android/data, Android/obb и Android/sandbox и их подпапкам, что может привести к повышению привилегий без необходимости дополнительных прав выполнения. Для эксплуатации требуется взаимодействие пользователя (например, открытие файла). Исправление было внесено в коммите 7f83c671626f9bf993581f4598c22482d87cba10, где проверка соответствия шаблону пути заменена на сравнение файлов, ограничив доступ к указанным каталогам (см. баг 341680936) [1].
Источники:
- [1] https://android.googlesource.com/platform/frameworks/base/+/7f83c671626f9bf993581f4598c22482d87cba10
- [2] https://source.android.com/security/bulletin/2025-03-01
CVE-2023-29400Шаблоны, содержащие действия в незакавыченных атрибутах HTML (например, "attr={{.}}"), выполняемые с пустым вводом, могут привести к выводу с неожиданными результатами при синтаксическом анализе из-за правил нормализации HTML. Это может позволить внедрять произвольные атрибуты в теги.
CVE-2023-24539Угловые скобки (\u003c\u003e) не считаются опасными символами при вставке в контексты CSS. Шаблоны, содержащие несколько действий, разделенных символом '/', могут привести к неожиданному закрытию контекста CSS и позволить внедрить неожиданный HTML, если он выполняется с ненадежными входными данными.
CVE-2026-4116Неправильная обработка кодирования Unicode в устройствах серии SonicWall SMA1000 позволяет удаленному аутентифицированному пользователю SSLVPN обойти аутентификацию Workplace/Connect Tunnel TOTP.
CVE-2026-4114Неправильная обработка кодирования Unicode в устройствах серии SonicWall SMA1000 позволяет удаленному аутентифицированному администрирование SSLVPN обходить аутентификацию AMC TOTP.
CVE-2026-20202В версиях Splunk Enterprise ниже 10.2.2, 10.3.5, 9.4.10 и 9.3.11 и версиях Splunk Cloud Platform ниже 10.4.2603.0, 10.3.2512.6, 10.2.2510.10, 10.1.2507.20, 10.0.2503.13 и 9.3.2411.127, пользователь, который выполняет роль, которая содержит высокопривилегированную способность `edit_user'Закодированный байт из-за неправильной валидации ввода.<br><br>Это может привести к непоследовательному преобразованию имен пользователей в правильный формат для несоответствий управления хранилищем и учетными записями, таких как невозможность редактировать или удалять затронутых пользователей.
CVE-2026-25480Litestar - это асинхронный интерфейс интерфейса шлема сервера (ASGI). До 2.20.0 FileStore отображает кэш-ключи кэша к именам файлов с помощью нормализации Unicode NFKD и замещения ord() без сепараторов, создавая столкновения клавиш. Когда FileStore используется в качестве бэкэнда кэша ответа, неаутентированный удаленный злоумышленник может вызвать столкновения ключей кэша с помощью продуманных путей, в результате чего один URL-адрес будет обслуживать кэшированные ответы другого (отравление кэша / смешивание). Эта уязвимость фиксируется в 2.20.0.
CVE-2026-23950node-tar, a Tar for Node.js, имеет уязвимость гонок в версиях до 7.5.3 включительно. Это связано с неполным обращением с столкновениями путей Unicode в системе "путевой блок". В нечувствительных к регистру или нечувствительных к нормализации файловых системах (таких как macOS APFS, в которых он был протестирован), библиотека не может зафиксировать пути столкновения (например, `ß` и `ss`), что позволяет обрабатывать их параллельно. Это обходит внутренние гарантии соответствия библиотеки и позволяет атаковать отравление Symlink через расовые условия. Библиотека использует систему "ПатРезервации" для обеспечения того, чтобы проверки метаданных и файловых операций по одному и тому же пути были сериальными. Это предотвращает условия гонки, когда одна запись может одновременно бить другую. Это условие гонки, которое позволяет перезаписать произвольный файл. Эта уязвимость затрагивает пользователей и системы, использующие узел-тар на macOS (APFS/HFS+). Из-за использования `NFD` нормализации Unicode (в которой `ß` и `ss` отличаются), противоречивые пути не имеют их порядка, должным образом сохраненных в файловых системах, которые игнорируют нормализацию Unicode (например, APFS (в котором `ß` вызывает столкновение inode с `ss`). Это позволяет злоумышленнику обходить внутренние блоки распараллеивания (`PathReservations`'), используя противоречивые имена файлов в архиве вредоносных тарелей. Патч в версии 7.5.4 обновляет `path-reservations.js` для использования формы нормализации, которая соответствует поведению целевой файловой системы (например, `NFKD`), за которым следует сначала `toLocaleLoverCase('en')`', а затем `toLocaleUpperCase('en')`. В качестве обходного пути пользователи, которые не могут своевременно обновиться и которые программно используют «унд-тар» для извлечения произвольных данных tarball, должны отфильтровать все «записи» (как это делает npm) для защиты от произвольного написания файловых файловых записей через эту проблему столкновения с именем файловой системы.
CVE-2024-8067В версиях Helix Core до 2024.1 Patch 2 (2024.1/2655224) была выявлена инъекция аргументов Unicode "best fit" API Windows ANSI.
CVE-2023-31169Уязвимость, связанная с неправильной обработкой кодировки Unicode, в программном обеспечении Schweitzer Engineering Laboratories SEL-5030 acSELerator QuickSet может позволить злоумышленнику внедрить инструкции, которые могут быть выполнены авторизованным оператором устройства. Дополнительные сведения см. в Приложении A и Приложении E руководства по эксплуатации от 20230615. Эта проблема затрагивает программное обеспечение SEL-5030 acSELerator QuickSet: до версии 7.1.3.0.
CVE-2026-35373Логическая ошибка в совместимости uils coreutils заставляет программу отклонять пути источника, содержащие байты файлов, не относящиеся к UTF-8, при использовании форм целевых каталогов (например, ln SOURCE... КАТАЛОГ). В то время как GNU ln рассматривает имена файлов как необработанные байты и правильно создает ссылки, реализация uils обеспечивает кодирование UTF-8, что приводит к неспособности установить файл и ненулевой код выхода. В средах, где автоматизированные скрипты или системные задачи обрабатывают действительные, но не UTF-8 имена файлов, общие в файловых системах Unix, это расхождение приводит к отказу утилиты, что приводит к локальному отказу в обслуживании для этих конкретных операций.