V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-180ВариантЧерновик
Абстракция: Вариант
Статус: Черновик
Источник ↗

Некорректный порядок действий: проверка до канонизации

Продукт проверяет входные данные до их канонизации, что не позволяет обнаружить данные, становящиеся недопустимыми после шага канонизации.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-3
Использование ведущих «фантомных» символьных последовательностей для обхода фильтров входных данных
CAPEC-71
Использование Unicode-кодирования для обхода логики проверки
CAPEC-78
Использование экранированных слешей в альтернативных кодировках
CAPEC-79
Использование слешей в альтернативных кодировках
CAPEC-80
Использование UTF-8 кодирования для обхода логики проверки
CAPEC-267
Использование альтернативного кодирования

Связанные уязвимости

CVE-2026-34475Varnish Cache до 8.0.1 и Varnish Enterprise до 6.0.16r12, в некоторых непроверенных сценариях req.url, неправильно обрабатывать URL-адреса с путем / для HTTP/1.1, что потенциально может привести к отравлению кэша или обходу аутентификации.
CVE-2022-26136Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику обходить фильтры сервлетов, используемые собственными и сторонними приложениями. Воздействие зависит от того, какие фильтры используются каждым приложением и как эти фильтры используются. Эта уязвимость может привести к обходу аутентификации и межсайтовому скриптингу. Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислила исчерпывающим образом все потенциальные последствия этой уязвимости. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2026-24895FrankenPHP - это современный сервер приложений для PHP. До 1.11.2 логика CGI-расщепления пути FrankenPP неправильно обрабатывает символы Unicode во время преобразования корпуса. Логика вычисляет сплит-индекс (для поиска .php) на нижнюю копию пути запроса, но применяет этот индекс байт к первоначальному пути. Поскольку строки.ToLower() в Go может увеличить длину байт определенных символов UTF-8 (например, ? ?, ? , ?, при низком регистре), вычисленный индекс может не выровнен с правильным положением в исходной строке. Это приводит к неправильным Script_NAME и SCRIPT_FILENAME, что может привести к тому, что FrankenPHP выполняет файл, отличное от того, который предназначен URI. Эта уязвимость фиксируется в 1.11.2.
CVE-2022-26137Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику вызывать дополнительные фильтры сервлетов при обработке приложением запросов или ответов. Atlassian подтвердила и исправила единственную известную проблему безопасности, связанную с этой уязвимостью: обход Cross-origin resource sharing (CORS). Отправка специально созданного HTTP-запроса может вызвать фильтр сервлетов, используемый для ответа на запросы CORS, что приведет к обходу CORS. Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с разрешениями жертвы. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2026-39364Vite - это интерфейсный инструментарий для JavaScript. С 7.1,0 до 7.3.2 и 8.0.5 на сервере Vite dev файлы, которые должны быть заблокированы server.fs.deny (например, .env, *.crt) могут быть извлечены с ответами HTTP 200, когда добавлены параметры запроса, такие как ?raw, ?import&raw или ?import&url&inline. Эта уязвимость исправлена в 7.3.2 и 8.0.5.
CVE-2025-33194NVIDIA DGX Spark GB10 содержит уязвимость в прошивке SROOT, где злоумышленник может вызвать неправильную обработку входных данных. Успешный эксплуатационный вид этой уязвимости может привести к раскрытию информации или отказу в обслуживании.
CVE-2026-45022go-git - это расширяемая библиотека реализации git, написанная в чистом Go. До 5.19.0 и 6.0.0-альфа.3 go-git может разбирать деформированные объекты Git таким образом, который отличается от верхних Git. Когда объекты ключа или метки содержат неоднозначные или деформированные заголовки, декодированное представление go-git может подвергать значения иначе, чем то, как сам Git будет интерпретировать или отклонять один и тот же объект. Кроме того, логика подписания и проверки ключа go-git действует над данными, реконструированными из разобранного представления go-git, а не из исходных байтов необработанных объектов. В результате go-git может подписывать или проверять полезную нагрузку, которая не является эквивалентом объекта, хранящегося в хранилище. Это может привести к тому, что подпись будет казаться действительной для коммита, отображаемые или эффективные метаданные которого отличаются от объекта, который должен был быть подписан. Эта уязвимость зафиксирована в 5.19.0 и 6.0.0-альфа.3.
CVE-2026-42462Fedify - это библиотека TypeScript для создания федеративных серверных приложений на базе ActivityPub. До версий 1.9.11, 1.10.10, 2.0.18, 2.1.14 и 2.2.3 злоумышленник может использовать функции JSON-LD для реструктуризации документа JSON-LD, который изменит то, как Fedify интерпретирует его, не изменяя свою подпись Linked Data Signature, позволяя им изменять третью подписанную деятельность, которую они получили. Версии 1.9.11, 1.10.10, 2.0.18, 2.1.14 и 2.2.3 исправить проблему.
CVE-2026-39409Hono - это веб-приложения, обеспечивающее поддержку любого времени выполнения JavaScript. До 4.12.12 ipRestriction() не канонизирует IPv4-картованные IPv6 адреса клиентов IPv6 (например, ::ffff:127.0.0.1) перед применением правил разрешения или отказа в IPv4. В таких средах, как Node.js с двойным стеком, это может привести к тому, что правила IPv4 не совпадают, что приводит к непреднамеренному поведению авторизации. Эта уязвимость зафиксирована в 4.12.12.
CVE-2025-43716В Ivanti LANDesk Management Gateway до версии 4.2-1.9 существует уязвимость обхода директорий. Злоумышленник может обойти средства контроля доступа, добавив %3F.php к URI конечной точки /client/index.php, и получить неавторизованный доступ к различным конечным точкам, таким как /client/index.php%3F.php/gsb/firewall.php, в панели управления. Это может привести к раскрытию конфиденциальной информации об устройствах. Следует отметить, что эта уязвимость затрагивает продукты, поддержка которых больше не осуществляется производителем [1]. Источники: - [1] https://forums.ivanti.com/s/article/Graphical-overview-of-the-LANDesk-Management-Gateway-Functionality - [2] https://medium.com/@0xbytehunter/discovery-of-path-traversal-vulnerability-in-landesk-management-gateway-devices-6dba386dd290
CVE-2026-34786Rack - это модульный интерфейс веб-сервера Ruby. До версий 2.2.23, 3.1.21 и 3.2.6 Rack::Static#applicable_rules оценивает несколько типов header_rules по сравнению с необработанным URL-кодированным PATH_INFO, в то время как основной путь подачи файлов расшифровывается до того, как файл будет подан. В результате запрос на закодированный URL-адресом вариант статического пути может служить тому же файлу без заголовков, которые должны были применять header_rules. В развертываниях, которые полагаются на Rack::Static для прикрепления заголовков ответов, имеющих референты безопасности, к статному контенту, это может позволить злоумышленнику обойти эти заголовки, запросив закодированную форму пути. Эта проблема была исправлена в версиях 2.2.23, 3.1.21, и 3.2.6.
CVE-2024-28607Пакет ip-utils через 2.4.0 для Node.js может позволять SSRF, поскольку некоторые IP-адреса (такие как 0x7f.1) неправильно классифицируются как глобально маршрутизируемые через ложное возвращаемое значение isPrivate.