V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-177ВариантЧерновик
Абстракция: Вариант
Статус: Черновик
Источник ↗

Некорректная обработка URL-кодирования (шестнадцатеричного кодирования)

Продукт некорректно обрабатывает ситуацию, когда все входные данные или их часть закодированы в формате URL.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-64
Использование слешей и URL-кодирования совместно для обхода логики проверки
CAPEC-72
URL-кодирование
CAPEC-120
Двойное кодирование
CAPEC-468
Универсальная межбраузерная межсайтовая кража данных

Связанные уязвимости

CVE-2026-29045Hono - это фреймворк веб-приложений, который обеспечивает поддержку для любого времени выполнения JavaScript. До версии 4.12.4, при использовании сервера Statatic вместе с промежуточными средствами на основе маршрута (например, app.use('/admin/*', ...)), непоследовательное декодирование URL позволило получить доступ к защищенным статическим ресурсам без авторизации. Маршрутизатор использовал decodeURI, в то время как сервер Static использовал decodeURIComponent. Это несоответствие позволило путям, содержащим закодированные срезы (% 2F), обходить защиту промежуточным программным обеспечением, все еще переходя к предполагаемому пути файловой системы. Этот вопрос был исправлен в версии 4.12.4.
CVE-2026-22031@fastify/middie - это плагин, который добавляет поддержку промежуточного программного обеспечения на стероидах в Fastify. Уязвимость безопасности существует в @fastify/middie до версии 9.1.0, где промежуточная программа, зарегистрированная с определенным префиксом пути, может быть обойдена с использованием символов, закодированных URL (например, `/%61dmin` вместо `/admin`). В то время как промежуточный механизм не соответствует закодированному пути и пропускает выполнение, основной маршрутизатор Fastify правильно декодирует путь и соответствует обработчику маршрута, позволяя злоумышленникам получать доступ к защищенным конечным точкам без ограничений промежуточной программы. Версия 9.1.0 устраняет проблему.
CVE-2026-22037Плагин @fastify/express добавляет полную совместимость с Express Fastify. Уязвимость безопасности существует в @fastify/express до версии 4.0.3, где промежуточный программный зарегистрированный с определенным префиксом пути можно обойти с помощью символов, закодированных URL (например, `/%61dmin` вместо `/admin`). В то время как промежуточный механизм не соответствует закодированному пути и пропускает выполнение, лежащий в основе маршрутизатор Fastify правильно декодирует путь и соответствует обработчику маршрута, позволяя злоумышленникам получать доступ к защищенным конечным точкам без ограничений промежуточных программ. Уязвимость вызвана тем, как @fastify/express соответствует запросам на зарегистрированные промежуточные пути. Эта уязвимость похожа, но отличается от CVE-2026-22031, потому что это другой npm модуль со своим собственным кодом. Версия 4.0.3 @fastify/express содержит патч для проблемы.
CVE-2022-27780Парсер URL curl неправильно принимает URL-разделители в процентах, такие как '/', при декодировании имени хоста в URL, делая его *другим* URL с использованием неправильного имени хоста при его последующем извлечении. Например, URL-адрес типа `http://example.com%2F127.0.0.1/` будет разрешен парсером и преобразован в `http://example.com/127.0.0.1/`. Этот недостаток можно использовать для обхода фильтров, проверок и многого другого.
CVE-2026-6414@fastify/статические версии 8.0.0 до 9.1.0 декодировать пройденные сепараторы пути (% 2F) до разрешения файла, в то время как маршрутизатор Fastify рассматривает их как буквальные символы. Это несоответствие позволяет злоумышленникам обходить промежуточное программирование на основе маршрута или охранников, которые защищают файлы, обслуживаемые @fastify/static. Например, охранник маршрута на защищенном пути может быть обойден путем кодирования сепаратора пути в URL. Обновление до @fastify/static 9.1.1, чтобы исправить эту проблему. Никаких обходных путей нет.
CVE-2018-3718Node-модуль serve страдает от неправильной обработки кодирования URL, разрешая доступ к игнорируемым файлам, если имя файла закодировано в URL.
CVE-2022-3854Обнаружена ошибка в Ceph, связанная с обработкой URL-адресов в серверных частях RGW. Злоумышленник может использовать обработку URL-адресов, предоставив пустой URL-адрес для сбоя RGW, что приведет к отказу в обслуживании.
CVE-2025-11990GitLab исправил проблему в GitLab EE, затрагивающую все версии, начиная с 18.4 до 18.4.4 и 18.5 до 18.5.2, что могло бы позволить аутентифицированному пользователю получить токены CSRF, используя неправильную валидацию ввода в ссылках на репозитории в сочетании с недостатками обработки перенаправления.
CVE-2024-48866Сообщено об уязвимости, связанной с неправильной обработкой кодировки URL (Hex Encoding), которая затрагивает несколько версий операционной системы QNAP. В случае эксплуатации уязвимость может позволить удаленным злоумышленникам привести систему в неожиданное состояние. Мы уже исправили эту уязвимость в следующих версиях: QTS 5.1.9.2954 build 20241120 и более поздние версии QTS 5.2.2.2950 build 20241114 и более поздние версии QuTS hero h5.1.9.2954 build 20241120 и более поздние версии QuTS hero h5.2.2.2952 build 20241116 и более поздние версии