CWE-436КлассНеполный
Конфликт интерпретации
Продукт A обрабатывает входные данные или шаги иначе, чем продукт B, что вынуждает A выполнять некорректные действия, основываясь на собственном представлении о состоянии B.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2024-24754Bref позволяет использовать serverless PHP в AWS Lambda. Когда Bref используется со средой выполнения Event-Driven Function и обработчик является `RequestHandlerInterface`, событие Lambda преобразуется в объект PSR7. Во время процесса преобразования, если запрос является MultiPart, каждая часть анализируется и ее содержимое добавляется в массивы `$files` или `$parsedBody`. Процесс преобразования создает другой вывод по сравнению с выводом обычного PHP при использовании ключей, заканчивающихся открывающей квадратной скобкой ([). В зависимости от логики приложения разница в анализе тела может привести к уязвимостям и/или неопределенному поведению. Эта уязвимость устранена в версии 2.1.13.
CVE-2023-24813Dompdf — это конвертер HTML в PDF, написанный на PHP. Из-за разницы в парсере атрибутов Dompdf и php-svg-lib злоумышленник все еще может вызывать произвольные URL-адреса с произвольными протоколами. Dompdf анализирует атрибут href тегов `image` и учитывает `xlink:href`, даже если указан `href`. Однако php-svg-lib, который позже используется для анализа SVG-файла, анализирует атрибут href. Поскольку `href` учитывается, если указаны как `xlink:href`, так и `href`, можно обойти защиту на стороне Dompdf, предоставив пустой атрибут `xlink:href`. Злоумышленник может использовать уязвимость для вызова произвольных URL-адресов с произвольными протоколами, если он предоставит SVG-файл в Dompdf. В версиях PHP до 8.0.0 это приводит к произвольной десериализации, что приведет, по крайней мере, к произвольному удалению файлов и может привести к удаленному выполнению кода, в зависимости от доступных классов. Эта уязвимость была устранена в коммите `95009ea98`, который был включен в версию 2.0.3. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости не существует.
CVE-2021-45327Gitea до версии 1.11.2 подвержена проблеме доверия методам разрешений HTTP на стороне сервера при обращении к уязвимому API администратора или пользователя, что может позволить удаленному злоумышленнику выполнить произвольный код.
CVE-2020-10180Механизм анализа ESET AV позволяет обходить обнаружение вирусов через специально созданное поле контрольной суммы BZ2 в архиве. Это влияет на версии до 1294 Smart Security Premium, Internet Security, NOD32 Antivirus, Cyber Security Pro (macOS), Cyber Security (macOS), Mobile Security для Android, Smart TV Security и NOD32 Antivirus 4 для Linux Desktop.
CVE-2019-19589Плагин Lever PDF Embedder 4.4 для WordPress не блокирует распространение многоязычных PDF-документов, которые являются действительными JAR-архивами. Примечание: Было высказано мнение, что "Уязвимость, о которой сообщается в плагине PDF Embedder, не является действительной, поскольку сам плагин не контролирует и не управляет процессом загрузки файлов. Он только обслуживает загруженные PDF-файлы, и ответственность за загрузку PDF-файлов остается за владельцем сайта установки Wordpress, загрузка PDF-файлов управляется ядром Wordpress, а не плагином PDF Embedder. Контроль и блокировка многоязычного файла должны осуществляться во время загрузки, а не при отображении файла. Кроме того, в ссылке упоминается извлечение файлов из кэша браузера и ручное переименование его в jar для выполнения файла. Это относится к двум несвязанным шагам, которые не имеют ничего общего с PDF Embedder".
CVE-2026-6270@fastify/middie версии 9.3.1 и ранее не регистрируют унаследованное промежуточную посуду непосредственно на экземплярах детских плагинов. Когда приложение Fastify регистрирует промежуточную версию аутентификации в родительском ободне, а затем регистрирует плагины для детей с помощью @fastify/middie, детская сфера не наследует промежуточную версию родителя. Это позволяет неаутентифицированным запросам достигать маршрутов, определенных в детских плагинах, в обход проверок аутентификации и авторизации. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Никакого обходного пути нет.
CVE-2026-41248Clerk JavaScript - это официальный хранилище JavaScript для аутентификации Clerk. createRouteMatcher в @clerk/nextjs, @clerk/nuxt, и @clerk/astro можно обойти определенными созданными запросами, что позволяет им пропускать промежуточные ворот и достигать обработчиков. Эта уязвимость зафиксирована в @clerk/astro 1.5.7, 2.17.10 и 3.0.15; @clerk/nextjs 5.7.6, 6.39.2 и 7.2.1; @clerk/nuxt 1.13.28 и 2.2.2; и @clerk/shared 2.22.1, 3.47.4 и 4.8.1
CVE-2026-33808Impact@fastify/express v4.0.4 и ранее не может нормализовать URL-адреса, прежде чем передавать их в промежуточный программный обеспечение Express, когда включены параметры нормализации маршрутизатора Fastify. Это позволяет полностью обходить промежуточного программного обеспечения аутентификации с помощью дубликатов при включении прошивки игнорированияDuplicateSlashes или через делимитаторы точек запятой при включении использованияSemicolonDelimiter. В обоих случаях маршрутизатор Fastify нормализует URL и соответствует маршруту, но @fastify/express передает исходный ненормированный URL-адрес Express, который не соответствует и пропускается. Неаутентифицированный злоумышленник может получить доступ к защищенным маршрутам, манипулируя путем URL.
ПатчиВрен до @fastify/экспресс v4.0.5 или более поздних версий.
CVE-2026-33807@fastify/express v4.0.4 и ранее содержит ошибку обработки пути в функции onRegister, которая приводит к удвоению промежуточных путей при наследовании детскими плагинами. Когда детский плагин регистрируется с префиксом, который соответствует промежуточный путь, промежуточный путь префиксируется во второй раз, в результате чего он никогда не соответствует входящим запросам. Это приводит к полному обходу средств контроля безопасности промежуточных программ Express, включая аутентификацию, авторизацию и ограничение тарифа, для всех маршрутов, определенных в пределах затронутых плагинов для детей. Никакой специальной конфигурации или запроса не требуется.
Обновление до @fastify/express v4.0.5 или более поздних версий.
CVE-2026-33804@fastify/middie версии 9.3.1 и более ранние уязвимы для обхода промежуточного программного обеспечения, когда включена устаревшая опция Fastify игнорированиеDuplicateSlashes. Логика соответствия промежуточного программного обеспечения не учитывает дубличную нормализацию слэша, выполняемую маршрутизатором Fastify, что позволяет запросам с дублированными срезами обходить проверку аутентификации промежуточного программного обеспечения и авторизации. Это влияет только на приложения, использующие опцию deprecated игнорированиеDuplicateSlashes. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Нет никаких обходных путей, кроме отключения варианта проигнорированного дублированияSlashes.
CVE-2019-18792Обнаружена проблема в Suricata 5.0.0. Можно обойти/уклониться от любой сигнатуры на основе tcp, перекрывая TCP-сегмент с поддельным пакетом FIN. Поддельный пакет FIN вставляется непосредственно перед пакетом PUSH ACK, который мы хотим обойти. Пакет PUSH ACK (содержащий данные) будет проигнорирован Suricata, потому что он перекрывает пакет FIN (номер последовательности и подтверждения идентичны в двух пакетах). Клиент проигнорирует поддельный пакет FIN, потому что флаг ACK не установлен. И клиенты Linux, и клиенты Windows игнорируют вставленный пакет.
CVE-2023-39481Softing Secure Integration Server Конфликт интерпретации, уязвимость удаленного выполнения кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в уязвимых установках Softing Secure Integration Server. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти.
Конкретная ошибка существует в веб-сервере. Проблема возникает из-за несоответствия в синтаксическом анализе URI между NGINX и кодом приложения. Злоумышленник может использовать это в сочетании с другими уязвимостями для выполнения произвольного кода в контексте root. Was ZDI-CAN-20551.
CVE-2022-36051ZITADEL сочетает в себе простоту Auth0 и универсальность Keycloak. **Actions**, представленные в ZITADEL **1.42.0** в API и **1.56.0** для консоли, — это функция, позволяющая пользователям с ролью `ORG_OWNER` создавать код Javascript, который вызывается системой в определенные моменты во время входа в систему. **Actions**, например, позволяют программно создавать авторизации (предоставления пользователей) для вновь созданных пользователей. Из-за отсутствующей проверки авторизации **Actions** могли предоставлять авторизации для проектов, принадлежащих другим организациям в том же экземпляре. Предоставление авторизаций через API и консоль не затрагивается этой уязвимостью. В настоящее время нет известных обходных решений, пользователям следует выполнить обновление.
CVE-2021-28474Уязвимость удаленного выполнения кода в Microsoft SharePoint Server.
CVE-2025-12816Уязвимость-конфликт интерпретации (CWE-436) в версиях 1.3.1 и ранее позволяет неаутентифицированным злоумышленникам создавать структуры ASN.1 для десинхронизации валидий схемы, что приводит к семантической расхождению, которая может обходить криптографические проверки и решения по безопасности.