CWE-233БазаНеполный
Некорректная обработка параметров
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2022-45182Pi-Star_DV_Dash (для Pi-Star DV) до 5aa194d неправильно обрабатывает параметр модуля.
CVE-2026-32998Эта уязвимость в консоли поставщика услуг Veeam позволяет осуществлять удаленное выполнение кода.
CVE-2026-2370GitLab исправил проблему в GitLab CE/EE, затрагивающую все версии с 14,3 до 18.8.7, 18.9 до 18.9.3 и 18.10 до 18.10.1, затрагивающую установки Jira Connect, которые могли бы позволить аутентифицированному пользователю с минимальными разрешениями на рабочую область получить учетные данные для установки и выдавать себя за приложение GitLab из-за ненадлежащих проверок авторизации.
CVE-2024-31808В TOTOLINK EX200 V4.0.3c.7646_B20201211 обнаружена уязвимость удаленного выполнения кода (RCE) через параметр webWlanIdx в функции setWebWlanIdx.
CVE-2023-20076Уязвимость в среде хостинга приложений Cisco IOx может позволить аутентифицированному удаленному злоумышленнику выполнять произвольные команды с правами root в базовой операционной системе хоста. Эта уязвимость связана с неполной очисткой параметров, передаваемых для активации приложения. Злоумышленник может воспользоваться этой уязвимостью, развернув и активировав приложение в среде хостинга приложений Cisco IOx с помощью специально созданного файла полезной нагрузки активации. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с правами root в базовой операционной системе хоста.
CVE-2021-0269Неправильная обработка параметров на стороне клиента в J-Web Juniper Networks Junos OS позволяет злоумышленнику выполнять ряд различных вредоносных действий против целевого устройства, когда пользователь аутентифицирован в J-Web. Злоумышленник может обойти существующие параметры, включая жестко закодированные параметры в сеансе HTTP/S, получить доступ и использовать переменные, обойти правила брандмауэра веб-приложения или механизмы проверки входных данных, а также иным образом изменять и модифицировать нормальное поведение J-Web. Злоумышленник может перенаправлять жертв на вредоносные веб-службы или извлекать конфиденциальную информацию из защищенных веб-форм. Эта проблема затрагивает: Juniper Networks Junos OS: все версии до 17.4R3-S3; версии 18.1 до 18.1R3-S12; версии 18.2 до 18.2R3-S6; версии 18.3 до 18.3R3-S4; версии 18.4 до 18.4R3-S6; версии 19.1 до 19.1R3-S4; версии 19.2 до 19.2R3-S1; версии 19.3 до 19.3R3-S1; версии 19.4 до 19.4R2-S2, 19.4R3; версии 20.1 до 20.1R2; версии 20.2 до 20.2R2.
CVE-2023-20514Неправильная обработка параметров в процессоре AMD Secure (ASP) может позволить привилегированному злоумышленнику передавать произвольное значение памяти функциям в доверенной среде исполнения, что приводит к произвольному исполнению кода.
CVE-2025-52970Уязвимость Fortinet FortiWeb версий 7.6.3 и ниже, 7.4.7 и ниже, 7.2.10 и ниже, а также 7.0.10 и ниже, связанная с неправильной обработкой параметров, может позволить неавторизованному удаленному злоумышленнику, обладающему внутренней информацией об устройстве и целевом пользователе, получить права администратора на устройстве посредством специально сформированного запроса [1].
Источники:
- [1] https://fortiguard.fortinet.com/psirt/FG-IR-25-448
CVE-2023-7261Несоответствующая реализация в Google Updator до 1.3.36.351 в Google Chrome позволила локальному злоумышленнику выполнить повышение привилегий через вредоносный файл. (Серьезность безопасности Chromium: высокая)
CVE-2023-26549Модуль SystemUI имеет уязвимость повторного перезапуска приложения из-за неправильных параметров. Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность.
CVE-2022-32261В SINEMA Remote Connect Server (все версии < V3.1) была обнаружена уязвимость. Затронутое приложение содержит неправильную конфигурацию в обновлении APT. Это может позволить злоумышленнику добавлять небезопасные пакеты в приложение.
CVE-2022-22792MobiSoft - Захват пользователя MobiPlus и неправильная обработка параметров URL. Злоумышленник может перейти к определенному URL-адресу, который предоставит всех пользователей и пароль в виде обычного текста. http://IP/MobiPlusWeb/Handlers/MainHandler.ashx?MethodName=GridData&GridName=Users
CVE-2021-1230Уязвимость в протоколе Border Gateway Protocol (BGP) для коммутаторов Cisco Nexus 9000 Series Fabric Switches в режиме Application Centric Infrastructure (ACI) может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать сбой процесса маршрутизации, что может привести к отказу в обслуживании (DoS). Эта уязвимость связана с проблемой установки маршрутов при получении обновления BGP. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданное обновление BGP на затронутое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать сбой процесса маршрутизации, что может привести к перезагрузке устройства. Эта уязвимость относится как к внутреннему BGP (IBGP), так и к внешнему BGP (EBGP). Примечание: Реализация BGP Cisco принимает входящий трафик BGP только от явно настроенных пиров. Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо отправить определенное сообщение обновления BGP по установленному TCP-соединению, которое выглядит как исходящее от доверенного пира BGP.
CVE-2025-55080В Eclipse ThreadX до 6.4.3, когда защита памяти включена, проверки параметров сископа не было достаточно, что позволило злоумышленнику получить произвольное чтение/запись памяти.
CVE-2024-9329В Eclipse Glassfish версий до 7.0.17 HTTP-параметр Host может привести к перенаправлению веб-приложения на указанный URL-адрес, когда запрошенный эндпоинт — '/management/domain'. Изменив значение URL-адреса на вредоносный сайт, злоумышленник может успешно запустить фишинговую аферу и украсть учетные данные пользователя.