CWE-184 · Неполный список запрещённых входных данных

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-184БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Неполный список запрещённых входных данных

Продукт реализует механизм защиты, опирающийся на список входных данных (или свойств входных данных), которые запрещены политикой или требуют дополнительной нейтрализации перед последующей обработкой, однако этот список неполон.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Использование ведущих «фантомных» символьных последовательностей для обхода фильтров входных данных

Внедрение аргументов

Разделители команд

Эксплуатация множественных слоёв интерпретации входных данных

Использование Unicode-кодирования для обхода логики проверки

Имя файла под управлением пользователя

AJAX-сбор сведений об инфраструктуре

Двойное кодирование

Flash-инъекция

Связанные уязвимости

CVE-2025-48732В WWBN AVideo 14.4 и версии dev master commit 8a8954ff существует неполный черный список в образце файла .htaccess. Специально созданный HTTP-запрос может привести к выполнению произвольного кода. Злоумышленник может отправить запрос на файл .phar, чтобы вызвать эту уязвимость [1]. Источники: - [1] https://talosintelligence.com/vulnerability_reports/TALOS-2025-2213

CVE-2023-3374Неполный список запрещенных вводов в Unisign Bookreen позволяет повысить привилегии. Эта проблема затрагивает Bookreen: до 3.0.0.

CVE-2020-5253NetHack до версии 3.6.0 допускал вредоносное использование экранирования символов в файле конфигурации (обычно .nethackrc), которое могло быть использовано. Эта ошибка исправлена в NetHack 3.6.0.

CVE-2019-9212SOFA-Hessian до версии 4.0.2 позволяет удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Hessian, поскольку черные списки com.caucho.naming.QName и com.sun.org.apache.xpath.internal.objects.XString обрабатываются неправильно, что связано с Resin Gadget. ПРИМЕЧАНИЕ: Поставщик не считает эту проблему уязвимостью, поскольку черный список используется неправильно. SOFA Hessian поддерживает пользовательский черный список, и было опубликовано заявление, призывающее пользователей обновить черный список или использовать функцию белого списка для своих конкретных потребностей, поскольку черный список активно не обновляется.

CVE-2017-0909Ruby-гем private_address_check до версии 0.4.1 уязвим для обхода из-за неполного черного списка общих частных/локальных сетевых адресов, используемых для предотвращения подделки запросов на стороне сервера.

CVE-2026-34415Xerte Online Toolkits версии 3.15 и ранее содержат неполную уязвимость входной проверки в конце elFinder, которая не блокирует PHP-исполнительные расширения .php4 из-за неправильного шаблона regex. Неаутентифицированные злоумышленники могут использовать этот недостаток в сочетании с обводом аутентификации и уязвимостями прохождения пути для загрузки вредоносного кода PHP, переименовать его в расширение .php4 и выполнить произвольные команды операционной системы на сервере.

CVE-2026-41264Flowise - это пользовательский интерфейс перетаскивания для создания настраиваемого потока большой языковой модели. До 3.1,0, конкретный недостаток существует в методе запуска класса CSV_Agents. Проблема возникает из-за отсутствия надлежащей песочницы при оценке сценария питона, сгенерированного LLM. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте пользователя, запускающего сервер. Используя методы быстрого впрыска, неаутентифицированный злоумышленник с возможностью отправлять подсказки в поток чата с помощью узла CSV Agent может убедить LLM ответить вредоносным скриптом питона, который выполняет управляемые атакующими командами на сервере Flowise. Эта уязвимость исправлена в 3.1.0.

CVE-2024-5217ServiceNow устранила уязвимость валидации ввода, которая была выявлена в версиях Now Platform в Вашингтоне, Ванкувере и ранее. Эта уязвимость может позволить неаутентифицированному пользователю удаленно выполнять код в контексте Now Platform. Уязвимость исправлена в перечисленных патчах и обновлениях ниже, которые были выпущены в ходе цикла патчей в июне 2024 года. Если вы этого еще не сделали, мы рекомендуем как можно скорее применять обновления безопасности, относящиеся к вашей инстанции.

CVE-2026-43578Версии OpenClaw 2026.3.31 до 2026.4.10 содержат уязвимость привилегированной эскалации, когда обнаружение понижащего рейтинга владельцев сердцебиения пропускает местные события, связанные с завершением exec. Злоумышленники могут использовать это, предоставляя ненадежным контентом завершения, чтобы оставить пробег в более привилегированном контексте, чем предполагало.

CVE-2026-43566Версии OpenClaw 2026.4.7 до 2026.4.14 содержат уязвимость привилегированной эскалации, когда логика понижает рейтинг владельца сердца пропускает события пробуждения, несущие ненадежный контент. Злоумышленники могут использовать это, отправляя ненадежные события пробуждения веб-хука, чтобы сохранить контекст исполнения, подобный владельцу, когда пробег должен был быть понижен.

CVE-2026-34177Повышение привилегий в Ubuntu

CVE-2026-22609Fickling - это декомпилятор Python и статический анализатор. До версии 0.1.7 метод неsafe_imports() в статических анализаторе Fickling не отображает несколько модулей Python с высоким риском, которые могут быть использованы для произвольного выполнения кода. Вредоносные соленья, импортирующие эти модули, не будут обнаружены как небезопасные, что позволит злоумышленникам обходить первичные статические проверки безопасности Fickling. Этот вопрос был исправлен в версии 0.1.7.

CVE-2026-22608Fickling - это декомпилятор Python и статический анализатор. До версии 0.1.7 как типы, так и модули пикода не блокируются явно. Даже другие существующие инструменты сканирования солений (например, pylescan) не блокируют pydoc.locate. Привязка этих двух вместе может достичь RCE, в то время как сканер все еще сообщает файл как LIKELY_SAFE. Этот вопрос был исправлен в версии 0.1.7.

CVE-2026-22607Fickling - это декомпилятор Python и статический анализатор. Фиксирующие версии до 0.1.6 включительно не относятся к модулю cProfile Python как небезопасному. Из-за этого вредоносный огурец, который использует cProfile.run() классифицируется как SUSPICIOUS вместо OVERTLY_MALICIOUS. Если пользователь полагается на выход Fickling, чтобы решить, безопасен ли маринованный огурец для дезериаализации, эта неправильная классификация может привести к тому, что он выполнит контролируемый злоумышленником код в своей системе. Это влияет на любой рабочий процесс или продукт, который использует Fickling в качестве защитного затвора для дезериализации маринования. Этот вопрос был исправлен в версии 0.1.7.

CVE-2026-22606Fickling - это декомпилятор Python и статический анализатор. Непоглощающие версии до 0.1.6 включительно не относятся к модулю Python как к небезопасному. Из-за этого вредоносный огурец, который использует runpy.run_path() или runpy.run_module() классифицируется как SUSPICIOUS вместо OVERTLY_MALICIOUS. Если пользователь полагается на выход Fickling, чтобы решить, является ли соленый огурец безопасным для дезериаализации, эта неправильная классификация может привести к тому, что он выполнит контролируемый злоумышленником код в своей системе. Это влияет на любой рабочий процесс или продукт, который использует Fickling в качестве защитного ворот для дезериализации маринованного огурца. Эта проблема была исправлена в версии 0.1.7.