CWE-183БазаЧерновик
Избыточно разрешающий список допустимых входных данных
Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые явно разрешены политикой как предположительно безопасные, однако этот список слишком разрешителен — то есть допускает небезопасные входные данные, что порождает производные слабости.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2026-42043Axios - это основанный на обещании HTTP-клиент для браузера и Node.js. До 1.15.1 и 0.31.1 злоумышленник, который может влиять на целевой URL-адрес запроса Axios, может использовать любой адрес в диапазоне 127.0.0.0/8 (кроме 127.0.0.1), чтобы полностью обойти защиту NO_PREXY. Эта уязвимость обусловлена неполной для CVE-2025-62718, эта уязвимость исправлена в 1.15.1 и 0.31.1.
CVE-2025-53762Слишком разрешительный список разрешенных входных данных в Microsoft Purview позволяет злоумышленнику повысить привилегии через сеть.
Источники:
- [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53762
CVE-2026-46391HAX CMS помогает управлять вселенной микросайтов с помощью бэкэндов PHP или NodeJs. Начиная с версии 9.0.1 и до версии 26.0.0 @haxtheweb/open-apis, несколько функций проводят сопоставление только подстроек для проверки имен хостов, на которые должно быть отправлено основное разрешение. Злоумышленник может приложить соответствующие подстроки к конечной точке, контролируемой злоумышленником, и захватить аутентификацию. Версия 26.0.0 исправляет проблему.
CVE-2026-29514Версии NetBox 4.3.5-4.5.4 содержат уязвимость удаленного выполнения кода в методе RenderTemplateMixin.get_environment_params(), который позволяет аутентифицированным пользователям с разрешениями на экспорт или конфигурирование шаблонов выполнять произвольный код, указывая вредоносные вызовы Python в поле environment_params. Злоумышленники могут обойти защиту Jinja2 SandboxedEnvironment, установив параметр завершения доработки на любой импортируемый вызов Python, такой как subprocess.getoutput, который вызывается на каждом выражении вне механизма перехвата вызова песочницы, достигая удаленного выполнения кода в качестве пользователя службы NetBox.
CVE-2026-41387OpenClaw до 2026.3.22 содержит неполную уязвимость среды с размахом дезинфестивания в host-env-security-policy.json и host-env-security.ts, что позволяет переопределять среду управления пакетами. Злоумышленники могут использовать утвержденные запросы на разрешение пакета или запуска бутстрапа на инфраструктуру, контролируемую атакующим, и выполнять троянизированный контент.
CVE-2026-21915Разрешающий список разрешенной уязвимости ввода в CLI Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) позволяет местному, высокому привилегированному злоумышленнику укорениться.
Меню CLI принимает ввод без тщательной проверки, что позволяет инъекцию команды оболочки. Эти команды оболочки выполняются с разрешениями корневых и могут быть использованы для получения полного управления системой.
Эта проблема затрагивает все версии JSI vLWC до 3.0.94.
CVE-2026-40899DataEase - это платформа визуализации и аналитики данных с открытым исходным кодом. Версии 2.10.20 и ниже содержат уязвимость байпористого блокадного байпориста JDBC в конфигурации источника данных MySQL. Класс Mysql использует аннотацию Lombok @Data, которая автоматически генерирует публичный стификатор для области незаконных параметров, содержащего блок-лист безопасности JDBC. Когда конфигурация источника данных представлена как JSON, Джексон дезериализирует набор IllegalParameters с поставляемым злоумышленником пустым списком, заменяя блок-лист перед прогонов getJdbc() валидацией. Это позволяет аутентифицированному злоумышленнику включать опасные параметры JDBC, такие как разрешить LoadLocalInfile=true, и, направив источник данных на негодяйный сервер MySQL, использовать функцию протокола LOAD DATA LOCAL INFILE для чтения произвольных файлов из файловой системы сервера DataEase, включая чувствительные переменные среды и учетные данные базы данных. Эта проблема исправлена в версии 2.10.21.
CVE-2025-59457В JetBrains TeamCity до версии 2025.07.2 отсутствовала проверка URL-адреса Git, что позволяло утечку учетных данных на Windows [1].
Источники:
- [1] https://www.jetbrains.com/privacy-security/issues-fixed/
CVE-2020-25696Обнаружена уязвимость в интерактивном терминале psql PostgreSQL версий до 13.1, до 12.5, до 11.10, до 10.15, до 9.6.20 и до 9.5.24. Если интерактивный сеанс psql использует \gset при запросе к скомпрометированному серверу, злоумышленник может выполнить произвольный код в качестве учетной записи операционной системы, запускающей psql. Наибольшую угрозу от этой уязвимости представляет конфиденциальность и целостность данных, а также доступность системы.
CVE-2024-1654Эта уязвимость потенциально позволяет выполнять несанкционированные операции записи, которые могут привести к удаленному выполнению кода. Злоумышленник должен уже иметь аутентифицированный административный доступ и знать как внутренний системный идентификатор, так и данные другого действительного пользователя, чтобы использовать эту уязвимость.
CVE-2023-4399Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости.
В Grafana Enterprise безопасность запросов представляет собой черный список, который позволяет администраторам настраивать Grafana так, чтобы экземпляр не вызывал конкретные хосты.
Однако это ограничение может быть обойденно с использованием кодирования punycode символов в адресе запроса.
CVE-2025-24349Уязвимость в функциональности «Сетевые интерфейсы» веб-приложения ctrlX OS позволяет удаленному аутентифицированному (низкопривилегированному) злоумышленнику удалять конфигурацию физических сетевых интерфейссов через специально созданный HTTP-запрос [1]. Источники:
- [1] https://psirt.bosch.com/security-advisories/BOSCH-SA-640452.html
CVE-2026-2303Репозиторий mongo-go-driver содержит CG-привязки для аутентификации GSAPI (Kerberos) на Linux и macOS. Реализация C-обертки содержит кучу уязвимости чтения за пределами пределов из-за неправильной предпочтения о прекращении действия струн в стандарте GSAPI. Поскольку буферы GSSAPI не гарантированно будут нулифицированы или имеют дополнительную прокладку, это приводит к чтению одного байт мимо выделенного буфера кучи.
CVE-2026-2302При определенных условиях при обработке злонамеренно созданного значения типа Hash r, Mongoid::Criteria.from_hash может разрешить выполнение произвольного кода Ruby.
CVE-2022-34450PowerPath Management Appliance версии 3.3 содержит уязвимость, связанную с повышением привилегий. Аутентифицированный пользователь-администратор может воспользоваться этой уязвимостью и получить неограниченный контроль/выполнение кода в системе от имени root.