CWE-551БазаНеполный
Неверный порядок действий: авторизация до разбора и канонизации
Если веб-сервер не выполняет полный разбор запрошенных URL перед проверкой авторизации, злоумышленник может обойти защиту авторизации.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2022-29165Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Критическая уязвимость была обнаружена в Argo CD, начиная с версии 1.4.0 и до версий 2.1.15, 2.2.9 и 2.3.4, которая позволила бы неаутентифицированным пользователям выдавать себя за любого пользователя или роль Argo CD, включая пользователя `admin`, отправляя специально созданный JSON Web Token (JWT) вместе с запросом. Чтобы эта уязвимость была использована, должен быть включен анонимный доступ к экземпляру Argo CD. В установке Argo CD по умолчанию анонимный доступ отключен. Уязвимость можно использовать для выдачи себя за любого пользователя или роль, включая встроенную учетную запись `admin`, независимо от того, включена она или отключена. Кроме того, злоумышленнику не нужна учетная запись в экземпляре Argo CD, чтобы использовать это. Если анонимный доступ к экземпляру включен, злоумышленник может повысить свои привилегии, фактически позволяя ему получить те же привилегии в кластере, что и у экземпляра Argo CD, который является администратором кластера в установке по умолчанию. Это позволит злоумышленнику создавать, манипулировать и удалять любые ресурсы в кластере. Они также могут извлекать данные, развертывая вредоносные рабочие нагрузки с повышенными привилегиями, тем самым обходя любое редактирование конфиденциальных данных, которое в противном случае обеспечивается API Argo CD. Исправление для этой уязвимости было выпущено в версиях Argo CD 2.3.4, 2.2.9 и 2.1.15. В качестве обходного пути можно отключить анонимный доступ, но предпочтительнее обновить версию до исправленной.
CVE-2023-23924Dompdf - это конвертер HTML в PDF. Проверка URI в dompdf 2.0.1 может быть обойдена при разборе SVG, передавая теги `<image>` с заглавными буквами. Это может привести к произвольной десериализации объектов в PHP < 8 через URL-оболочку `phar`. Злоумышленник может использовать эту уязвимость для вызова произвольного URL-адреса с произвольными протоколами, если он может предоставить SVG-файл в dompdf. В версиях PHP до 8.0.0 это приводит к произвольной десериализации, что приведет как минимум к произвольному удалению файлов и даже к удаленному выполнению кода, в зависимости от доступных классов.
CVE-2016-20030ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter. Attackers can send requests to the authLoginAction!login.do script with varying username inputs to enumerate valid user accounts based on application responses.
CVE-2021-32779Envoy — это прокси-сервер L7 с открытым исходным кодом и коммуникационная шина, предназначенные для современных архитектур, ориентированных на крупные сервисы. В уязвимых версиях Envoy неправильно обрабатывал элемент URI '#fragment' как часть элемента пути. Envoy настроен с фильтром RBAC для авторизации или аналогичным механизмом с явным случаем конечного элемента пути "/admin" или использует отрицательное утверждение с конечным элементом пути "/admin". Клиент отправляет запрос к "/app1/admin#foo". В Envoy версий до 1.18.0 или 1.18.0+, настроенных с path_normalization=false. Envoy рассматривает фрагмент как суффикс строки запроса, если она присутствует, или как суффикс пути, если строка запроса отсутствует, поэтому он оценивает конечный элемент пути как "/admin#foo" и не соответствует настроенному элементу пути "/admin". В Envoy 1.18.0+, настроенном с path_normalization=true. Envoy преобразует это в /app1/admin%23foo и не соответствует настроенному префиксу /admin. Полученный URI отправляется следующему серверу-агенту с нарушающим RFC3986 фрагментом "#foo" или с бессмысленным текстом "%23foo", добавленным в конец. Специально созданный запрос с URI, содержащим элемент '#fragment', доставленный ненадежным клиентом при наличии расширений авторизации запросов на основе пути, приводит к повышению привилегий при использовании расширений авторизации запросов на основе пути. Envoy версий 1.19.1, 1.18.4, 1.17.4, 1.16.5 содержат исправления, которые удаляют фрагмент из пути URI во входящих запросах.
CVE-2021-32777Envoy — это прокси-сервер L7 с открытым исходным кодом и коммуникационная шина, предназначенные для современных архитектур, ориентированных на крупные сервисы. В уязвимых версиях, когда расширение ext-authz отправляет заголовки запроса во внешнюю службу авторизации, оно должно объединять заголовки с несколькими значениями в соответствии со спецификацией HTTP. Однако отправляется только последнее значение заголовка. Это может позволить специально созданным запросам обойти авторизацию. Злоумышленники могут получить возможность повысить привилегии при использовании расширения ext-authz или серверной службы, использующей заголовки с несколькими значениями для авторизации. Специально созданный запрос может быть доставлен ненадежным подчиненным узлом при наличии расширения ext-authz. Envoy версий 1.19.1, 1.18.4, 1.17.4, 1.16.5 содержат исправления для расширения ext-authz, обеспечивающие правильное объединение нескольких значений заголовков запроса при отправке запроса на авторизацию.
CVE-2023-6394Обнаружена уязвимость в Quarkus. Эта проблема возникает, когда при получении запроса через веб-сокет без указания разрешений на основе ролей для операции GraphQL Quarkus обрабатывает запрос без аутентификации, несмотря на то, что конечная точка защищена. Это может позволить злоумышленнику получить доступ к информации и функциям за пределами обычных предоставленных разрешений API.
CVE-2026-0707A flaw was found in Keycloak. The Keycloak Authorization header parser is overly permissive regarding the formatting of the "Bearer" authentication scheme. It accepts non-standard characters (such as tabs) as separators and tolerates case variations that deviate from RFC 6750 specifications.