CWE-349БазаЧерновик
Принятие посторонних недоверенных данных вместе с доверенными данными
При обработке доверенных данных продукт принимает любые недоверенные данные, включённые в их состав, обращаясь с ними как с доверенными.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-51655В JetBrains IntelliJ IDEA до версии 2023.3.2 было возможно выполнение кода в режиме Untrusted Project через вредоносный репозиторий плагинов, указанный в конфигурации проекта.
CVE-2019-9535Существует проблема в том, как iTerm2 интегрируется с режимом управления tmux, которая может позволить злоумышленнику выполнять произвольные команды, предоставляя вредоносный вывод в терминал. Это затрагивает версии iTerm2 до 3.3.5 включительно. Эта уязвимость может позволить злоумышленнику выполнять произвольные команды на компьютере своей жертвы, предоставляя вредоносный вывод в терминал. Ее можно использовать с помощью утилит командной строки, которые выводят контент, контролируемый злоумышленником.
CVE-2026-45602Нет cwe для этой проблемы в Windows DHCP Server позволяет несанкционированному злоумышленнику выполнять фальсификации по сети.
CVE-2025-5994Уязвимость отравления кэша была обнаружена в кэширующих резолверах, поддерживающих EDNS Client Subnet (ECS). Unbound также уязвим при компиляции с поддержкой ECS и настройке на отправку информации ECS на вышестоящие серверы имен. Злоумышленник может эксплуатировать атаку "Rebirthday Attack", отправляя запросы, которые приводят к сегрегированному исходящему трафику ECS от Unbound для одного домена, а затем отправляя вредоносные ответы без ECS, пытаясь угадать идентификатор транзакции DNS [1].
Источники:
- [1] https://nlnetlabs.nl/downloads/unbound/CVE-2025-5994.txt
CVE-2025-40778В некоторых конфигурациях BIND слишком снисходительно принимает ответы, позволяя злоумышленнику внедрять поддельные записи в кеш. Уязвимость затрагивает версии BIND 9 от 9.11.0 до 9.16.50, 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12 и соответствующие сервис‑пакеты [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40778
CVE-2025-40776Кэширующий DNS-сервер 'named', настроенный для отправки ECS-опций (EDNS Client Subnet), может быть уязвим к атаке отравления кэша. Эта проблема затрагивает версии BIND 9 от 9.11.3-S1 до 9.16.50-S1, от 9.18.11-S1 до 9.18.37-S1 и от 9.20.9-S1 до 9.20.10-S1 [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40776
CVE-2023-44317Уязвимость была выявлена в RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) (все версии < V7.2.2), RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) (все версии < V7.2.2), SCALANCE M804PB (6GK5804-0AP00-2AA2) (все версии < V7.2.2), SCALANCE M812-1 ADSL-Router (6GK5812-1AA00-2AA2) (все версии < V7.2.2), SCALANCE M812-1 ADSL-Router (6GK5812-1BA00-2AA2) (все версии < V7.2.2), SCALANCE M816-1 ADSL-Router (6GK5816-1AA00-2AA2) (все версии < V7.2.2), SCALANCE M816-1 ADSL-Router (6GK5816-1BA00-2AA2) (все версии < V7.2.2), SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) (все версии < V7.2.2), SCALANCE M874-2 (6GK5874-2AA00-2AA2) (все версии < V7.2.2), SCALANCE M874-3 (6GK5874-3AA00-2AA2) (все версии < V7.2.2), SCALANCE M876-3 (6GK5876-3AA02-2BA2) (все версии < V7.2.2), SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) (все версии < V7.2.2), SCALANCE M876-4 (6GK5876-4AA10-2BA2) (все версии < V7.2.2), SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) (все версии < V7.2.2), SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) (все версии < V7.2.2), SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) (все версии < V7.2.2), SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) (все версии < V7.2.2), SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) (все версии < V7.2.2), SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) (все версии < V7.2.2), SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) (все версии < V7.2.2), SCALANCE WAB762-1 (6GK5762-1AJ00-6AA0) (все версии < V3.0.0), SCALANCE WAM763-1 (6GK5763-1AL00-7DA0) (все версии < V3.0.0), SCALANCE WAM763-1 (ME) (6GK5763-1AL00-7DC0) (все версии < V3.0.0), SCALANCE WAM763-1 (US) (6GK5763-1AL00-7DB0) (все версии < V3.0.0), SCALANCE WAM766-1 (6GK5766-1GE00-7DA0) (все версии < V3.0.0), SCALANCE WAM766-1 (ME) (6GK5766-1GE00-7DC0) (все версии < V3.0.0), SCALANCE WAM766-1 (US) (6GK5766-1GE00-7DB0) (все версии < V3.0.0), SCALANCE WAM766-1 EEC (6GK5766-1GE00-7TA0) (все версии < V3.0.0), SCALANCE WAM766-1 EEC (ME) (6GK5766-1GE00-7TC0) (все версии < V3.0.0), SCALANCE WAM766-1 EEC (US) (6GK5766-1GE00-7TB0) (все версии < V3.0.0), SCALANCE WUB762-1 (6GK5762-1AJ00-1AA0) (все версии < V3.0.0), SCALANCE WUB762-1 iFeatures (6GK5762-1AJ00-2AA0) (все версии < V3.0.0), SCALANCE WUM763-1 (6GK5763-1AL00-3AA0) (все версии < V3.0.0), SCALANCE WUM763-1 (6GK5763-1AL00-3DA0) (все версии < V3.0.0), SCALANCE WUM763-1 (US) (6GK5763-1AL00-3AB0) (все версии < V3.0.0), SCALANCE WUM763-1 (US) (6GK5763-1AL00-3DB0) (все версии < V3.0.0), SCALANCE WUM766-1 (6GK5766-1GE00-3DA0) (все версии < V3.0.0), SCALANCE WUM766-1 (ME) (6GK5766-1GE00-3DC0) (все версии < V3.0.0), SCALANCE WUM766-1 (USA) (6GK5766-1GE00-3DB0) (все версии < V3.0.0). В затронутых продуктах не проводится должная проверка содержимого загруженных сертификатов X509, что может позволить злоумышленнику с правами администратора выполнить произвольный код на устройстве.
CVE-2026-35641OpenClaw до 2026.3.24 содержит уязвимость произвольного выполнения кода в локальной установке плагина и крючка, которая позволяет злоумышленникам выполнять вредоносный код, создавая файл .npmrc с исполняемым переопределителем git. Во время выполнения npm установки в каталоге постановочного пакета злоумышленники могут использовать гит-зависимости для запуска выполнения произвольных программ, указанных в управляемом злоумышленником файле конфигурации .npmrc.
CVE-2026-32162Принятие посторонних ненадежных данных с доверенными данными в Windows COM позволяет неавторизованному злоумышленнику повысить привилегии на местном уровне.
CVE-2026-1642Уязвимость существует в NGINX OSS и NGINX Plus при настройке на прокси серверах Transport Layer Security (TLS). Злоумышленник с положением человека посередине (MITM) на стороне вышестоящим сервера - вместе с условиями, не зависящими от злоумышленника - может быть в состоянии вводить простые текстовые данные в ответ с вышестоящим прокси-сервером. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2024-1485Обнаружена уязвимость в функции распаковки registry-support. Эту проблему можно вызвать, если неаутентифицированный удаленный злоумышленник обманом заставит пользователя проанализировать devfile, который использует ключевые слова `parent` или `plugin`. Это может привести к загрузке вредоносного архива и вызвать процесс очистки для перезаписи или удаления файлов за пределами архива, что не должно быть разрешено.
CVE-2024-52555В JetBrains WebStorm до версии 2024.3 было возможно выполнение кода в режиме ненадежного проекта через скрипт установщика определений типов.
CVE-2024-30205В Emacs версий до 29.3, Org mode считает содержимое удаленных файлов доверенным. Это затрагивает Org Mode версий до 9.6.23.
CVE-2020-8023Уязвимость принятия посторонних ненадежных данных с доверенными данными в стартовом скрипте openldap2 SUSE Enterprise Storage 5, SUSE Linux Enterprise Debuginfo 11-SP3, SUSE Linux Enterprise Debuginfo 11-SP4, SUSE Linux Enterprise Point of Sale 11-SP3, SUSE Linux Enterprise Server 11-SECURITY, SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Linux Enterprise Server 12-SP2-BCL, SUSE Linux Enterprise Server 12-SP2-LTSS, SUSE Linux Enterprise Server 12-SP3-BCL, SUSE Linux Enterprise Server 12-SP3-LTSS, SUSE Linux Enterprise Server 12-SP4, SUSE Linux Enterprise Server 12-SP5, SUSE Linux Enterprise Server 15-LTSS, SUSE Linux Enterprise Server для SAP 12-SP2, SUSE Linux Enterprise Server для SAP 12-SP3, SUSE Linux Enterprise Server для SAP 15, SUSE OpenStack Cloud 7, SUSE OpenStack Cloud 8, SUSE OpenStack Cloud Crowbar 8; openSUSE Leap 15.1, openSUSE Leap 15.2 позволяет локальным злоумышленникам повышать привилегии с пользователя ldap до root. Эта проблема затрагивает: SUSE Enterprise Storage 5 openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Debuginfo 11-SP3 openldap2 версии до 2.4.26-0.74.13.1,. SUSE Linux Enterprise Debuginfo 11-SP4 openldap2 версии до 2.4.26-0.74.13.1,. SUSE Linux Enterprise Point of Sale 11-SP3 openldap2 версии до 2.4.26-0.74.13.1,. SUSE Linux Enterprise Server 11-SECURITY openldap2-client-openssl1 версии до 2.4.26-0.74.13.1. SUSE Linux Enterprise Server 11-SP4-LTSS openldap2 версии до 2.4.26-0.74.13.1,. SUSE Linux Enterprise Server 12-SP2-BCL openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 12-SP2-LTSS openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 12-SP3-BCL openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 12-SP3-LTSS openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 12-SP4 openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 12-SP5 openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server 15-LTSS openldap2 версии до 2.4.46-9.31.1. SUSE Linux Enterprise Server для SAP 12-SP2 openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server для SAP 12-SP3 openldap2 версии до 2.4.41-18.71.2. SUSE Linux Enterprise Server для SAP 15 openldap2 версии до 2.4.46-9.31.1. SUSE OpenStack Cloud 7 openldap2 версии до 2.4.41-18.71.2. SUSE OpenStack Cloud 8 openldap2 версии до 2.4.41-18.71.2. SUSE OpenStack Cloud Crowbar 8 openldap2 версии до 2.4.41-18.71.2. openSUSE Leap 15.1 openldap2 версии до 2.4.46-lp151.10.12.1. openSUSE Leap 15.2 openldap2 версии до 2.4.46-lp152.14.3.1.
CVE-2025-29842Принятие посторонних ненадежных данных вместе с доверенными данными в UrlMon позволяет неавторизованному злоумышленнику обойти функцию безопасности через сеть [1].
Источники:
- [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29842