V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-35ВариантНеполный
Абстракция: Вариант
Статус: Неполный
Источник ↗

Выход за пределы каталога: '.../...//'

Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности '.../...//' (удвоенные тройные точки с косой чертой), способные разрешиться в местоположение за пределами этого каталога.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2026-45495Microsoft Edge (Chromium-based) Уязвимость К Удаленному Исполнению Кода
CVE-2025-49297Уязвимость Path Traversal в Mikado-Themes Grill and Chow позволяет осуществить PHP Local File Inclusion. Эта проблема затрагивает Grill and Chow: от n/a до 1.6 [1]. Источники: - [1] https://patchstack.com/database/wordpress/theme/grillandchow/vulnerability/wordpress-grill-and-chow-1-6-local-file-inclusion-vulnerability?_s_id=cve
CVE-2025-49296Уязвимость Path Traversal в Mikado-Themes GrandPrix позволяет осуществить PHP Local File Inclusion. Эта проблема затрагивает GrandPrix: с n/a до версии 1.6. Для устранения уязвимости необходимо обновиться до версии 1.6.1 или позднее. Уязвимость Local File Inclusion может позволить злоумышленнику включить локальные файлы целевой системы и отобразить их содержимое, что потенциально может привести к утечке конфиденциальной информации. CVSS оценка: 8.1. Источники: - [1] https://patchstack.com/database/wordpress/theme/grandprix/vulnerability/wordpress-grandprix-1-6-local-file-inclusion-vulnerability?_s_id=cve
CVE-2025-49295Уязвимость обхода пути в Mikado-Themes MediClinic позволяет выполнить включение локального файла PHP. Эта проблема затрагивает MediClinic: от n/a до версии 2.1. Уязвимость позволяет злоумышленнику включать локальные файлы целевой веб-страницы и отображать их содержимое на экране. Файлы, содержащие учетные данные, такие как учетные данные базы данных, потенциально могут быть скомпрометированы в зависимости от конфигурации. Мы рекомендуем немедленно устранить или устранить уязвимость. Patchstack выпустил виртуальный патч для смягчения этой проблемы, блокируя любые атаки до тех пор, пока вы не обновитесь до исправленной версии. Обновитесь до версии 2.2 или более поздней. Источники: - [1] https://patchstack.com/database/wordpress/theme/mediclinic/vulnerability/wordpress-mediclinic-2-1-local-file-inclusion-vulnerability?_s_id=cve
CVE-2025-42937SAP Print Service (SAPSprint) выполняет недостаточную проверку информации о пути, предоставленной пользователями. Неаутентифицированный злоумышленник может перейти в родительский каталог и перезаписать системные файлы, что может оказать большое влияние на целостность конфиденциальности и доступность приложения.
CVE-2025-41723Метод SOAP importFile уязвим к атаке обхода директории (directory traversal). Неавторизованный удалённый атакующий может обойти ограничение пути и загрузить файлы в произвольные места файловой системы. Уязвимость обнаружена в встроенном микропрограммном обеспечении устройств SAUTER modulo 6 и затрагивает встроенный веб‑сервер и интерфейс к инструментам CASE Suite, позволяя повышать привилегии, выполнять удалённый код и компрометировать целостность, доступность и конфиденциальность устройства. Для устранения необходимо обновить прошивку до версии 3.2.0 или новее; это требует CASE Suite версии 5.2 SR5 или новее. Подробнее см. источник [1]. Источники: - [1] https://sauter.csaf-tp.certvde.com/.well-known/csaf/white/2025/vde-2025-060.json
CVE-2024-2863Эта уязвимость позволяет удаленным злоумышленникам перемещаться по путям через загрузку файлов на затронутом LG LED Assistant.
CVE-2018-3744Node-модуль html-pages содержит уязвимости path traversal, которые позволяют злоумышленнику читать любой файл с сервера с помощью cURL.
CVE-2026-52703Неаутентированный Path Traversal в версиях FastDup <= 2.7.2.
CVE-2025-59793Rocket TRUfusion Enterprise через 7.10.5 открывает конечную точку в /axis2/services/WsPortalV6UpDwAxis2Impl для аутентифицированных пользователей, чтобы иметь возможность загружать файлы. Тем не менее, приложение не оказывает надлежащей продезинфекции параметра jobDirectory, что позволяет включать последовательности прохождения пути. Это позволяет записывать файлы в произвольные местоположения локальной файловой системы и может впоследствии привести к удаленному выполнению кода.
CVE-2026-6074Intrado 911 Emergency Gateway (EGW) 5.x, 6.x и 7.x содержат уязвимость в концеplpoint in download_debuglog_file.php endpoint, используемой для загрузки журналов отладки. Неаутентифицированный злоумышленник может манипулировать параметром имени, чтобы прочитать произвольные файлы за пределами предполагаемого каталога.
CVE-2025-53417DIAView (версия 4.2.0 и ранее) - Уязвимость раскрытия информации обхода директорий [1] Описание уязвимости: Уязвимость обхода директорий в DIAView позволяет злоумышленникам получить доступ к конфиденциальным файлам и раскрыть информацию о системе. Источники: - [1] https://filecenter.deltaww.com/news/download/doc/Delta-PCSA-2025-00010_DIAView%20Directory%20Traversal%20Information%20Disclosure.pdf
CVE-2025-30515Устройство CyberData 011209 Intercom позволяет аутентифицированному злоумышленнику загружать произвольные файлы в несколько мест внутри системы через Path Traversal. Это может привести к выполнению вредоносного кода на устройстве. CVE-2025-30515 присвоен этой уязвимости. CVSS-оценка составляет 9,8. CyberData рекомендует обновить прошивку до версии 22.0.1, чтобы устранить уязвимость. [1] Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-155-01
CVE-2024-56045Уязвимость Path Traversal: '.../...//' в VibeThemes WPLMS позволяет осуществить обход каталогов. Эта проблема затрагивает WPLMS: от n/a до 1.9.9.5.
CVE-2024-40505Уязвимость Directory Traversal в D-Link DAP-1650 Firmware v.1.03 позволяет локальному злоумышленнику нагнетать привилегии через компонент hedwig.cgi.