CWE-177ВариантЧерновик
Некорректная обработка URL-кодирования (шестнадцатеричного кодирования)
Продукт некорректно обрабатывает ситуацию, когда все входные данные или их часть закодированы в формате URL.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2026-29045Hono is a Web application framework that provides support for any JavaScript runtime. Prior to version 4.12.4, when using serveStatic together with route-based middleware protections (e.g. app.use('/admin/*', ...)), inconsistent URL decoding allowed protected static resources to be accessed without authorization. The router used decodeURI, while serveStatic used decodeURIComponent. This mismatch allowed paths containing encoded slashes (%2F) to bypass middleware protections while still resolving to the intended filesystem path. This issue has been patched in version 4.12.4.
CVE-2026-22031@fastify/middie is the plugin that adds middleware support on steroids to Fastify. A security vulnerability exists in @fastify/middie prior to version 9.1.0 where middleware registered with a specific path prefix can be bypassed using URL-encoded characters (e.g., `/%61dmin` instead of `/admin`). While the middleware engine fails to match the encoded path and skips execution, the underlying Fastify router correctly decodes the path and matches the route handler, allowing attackers to access protected endpoints without the middleware constraints. Version 9.1.0 fixes the issue.
CVE-2026-22037The @fastify/express plugin adds full Express compatibility to Fastify. A security vulnerability exists in @fastify/express prior to version 4.0.3 where middleware registered with a specific path prefix can be bypassed using URL-encoded characters (e.g., `/%61dmin` instead of `/admin`). While the middleware engine fails to match the encoded path and skips execution, the underlying Fastify router correctly decodes the path and matches the route handler, allowing attackers to access protected endpoints without the middleware constraints. The vulnerability is caused by how @fastify/express matches requests against registered middleware paths. This vulnerability is similar to, but differs from, CVE-2026-22031 because this is a different npm module with its own code. Version 4.0.3 of @fastify/express contains a patch fort the issue.
CVE-2022-27780Парсер URL curl неправильно принимает URL-разделители в процентах, такие как '/', при декодировании имени хоста в URL, делая его *другим* URL с использованием неправильного имени хоста при его последующем извлечении. Например, URL-адрес типа `http://example.com%2F127.0.0.1/` будет разрешен парсером и преобразован в `http://example.com/127.0.0.1/`. Этот недостаток можно использовать для обхода фильтров, проверок и многого другого.
CVE-2018-3718Node-модуль serve страдает от неправильной обработки кодирования URL, разрешая доступ к игнорируемым файлам, если имя файла закодировано в URL.
CVE-2022-3854Обнаружена ошибка в Ceph, связанная с обработкой URL-адресов в серверных частях RGW. Злоумышленник может использовать обработку URL-адресов, предоставив пустой URL-адрес для сбоя RGW, что приведет к отказу в обслуживании.
CVE-2025-11990GitLab has remediated an issue in GitLab EE affecting all versions from 18.4 before 18.4.4, and 18.5 before 18.5.2 that could have allowed an authenticated user to gain CSRF tokens by exploiting improper input validation in repository references combined with redirect handling weaknesses.
CVE-2024-48866Сообщено об уязвимости, связанной с неправильной обработкой кодировки URL (Hex Encoding), которая затрагивает несколько версий операционной системы QNAP. В случае эксплуатации уязвимость может позволить удаленным злоумышленникам привести систему в неожиданное состояние.
Мы уже исправили эту уязвимость в следующих версиях:
QTS 5.1.9.2954 build 20241120 и более поздние версии
QTS 5.2.2.2950 build 20241114 и более поздние версии
QuTS hero h5.1.9.2954 build 20241120 и более поздние версии
QuTS hero h5.2.2.2952 build 20241116 и более поздние версии