CWE-551 · Неверный порядок действий: авторизация до разбора и канонизации

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-551БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Неверный порядок действий: авторизация до разбора и канонизации

Если веб-сервер не выполняет полный разбор запрошенных URL перед проверкой авторизации, злоумышленник может обойти защиту авторизации.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2022-29165Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Критическая уязвимость была обнаружена в Argo CD, начиная с версии 1.4.0 и до версий 2.1.15, 2.2.9 и 2.3.4, которая позволила бы неаутентифицированным пользователям выдавать себя за любого пользователя или роль Argo CD, включая пользователя `admin`, отправляя специально созданный JSON Web Token (JWT) вместе с запросом. Чтобы эта уязвимость была использована, должен быть включен анонимный доступ к экземпляру Argo CD. В установке Argo CD по умолчанию анонимный доступ отключен. Уязвимость можно использовать для выдачи себя за любого пользователя или роль, включая встроенную учетную запись `admin`, независимо от того, включена она или отключена. Кроме того, злоумышленнику не нужна учетная запись в экземпляре Argo CD, чтобы использовать это. Если анонимный доступ к экземпляру включен, злоумышленник может повысить свои привилегии, фактически позволяя ему получить те же привилегии в кластере, что и у экземпляра Argo CD, который является администратором кластера в установке по умолчанию. Это позволит злоумышленнику создавать, манипулировать и удалять любые ресурсы в кластере. Они также могут извлекать данные, развертывая вредоносные рабочие нагрузки с повышенными привилегиями, тем самым обходя любое редактирование конфиденциальных данных, которое в противном случае обеспечивается API Argo CD. Исправление для этой уязвимости было выпущено в версиях Argo CD 2.3.4, 2.2.9 и 2.1.15. В качестве обходного пути можно отключить анонимный доступ, но предпочтительнее обновить версию до исправленной.

CVE-2023-23924Dompdf - это конвертер HTML в PDF. Проверка URI в dompdf 2.0.1 может быть обойдена при разборе SVG, передавая теги `<image>` с заглавными буквами. Это может привести к произвольной десериализации объектов в PHP < 8 через URL-оболочку `phar`. Злоумышленник может использовать эту уязвимость для вызова произвольного URL-адреса с произвольными протоколами, если он может предоставить SVG-файл в dompdf. В версиях PHP до 8.0.0 это приводит к произвольной десериализации, что приведет как минимум к произвольному удалению файлов и даже к удаленному выполнению кода, в зависимости от доступных классов.

CVE-2016-20030ZKTeco ZKBioSecurity 3.0 содержит уязвимость перечисления пользователей, которая позволяет неаудовлетворенным злоумышленникам обнаруживать действительные имена пользователей, отправляя частичные символы через параметр имени пользователя. Злоумышленники могут отправлять запросы на скрипт authLoginAction!login.do с различными входными данными имени пользователя для перечисления действительных учетных записей пользователей на основе ответов приложений.

CVE-2021-32779Envoy — это прокси-сервер L7 с открытым исходным кодом и коммуникационная шина, предназначенные для современных архитектур, ориентированных на крупные сервисы. В уязвимых версиях Envoy неправильно обрабатывал элемент URI '#fragment' как часть элемента пути. Envoy настроен с фильтром RBAC для авторизации или аналогичным механизмом с явным случаем конечного элемента пути "/admin" или использует отрицательное утверждение с конечным элементом пути "/admin". Клиент отправляет запрос к "/app1/admin#foo". В Envoy версий до 1.18.0 или 1.18.0+, настроенных с path_normalization=false. Envoy рассматривает фрагмент как суффикс строки запроса, если она присутствует, или как суффикс пути, если строка запроса отсутствует, поэтому он оценивает конечный элемент пути как "/admin#foo" и не соответствует настроенному элементу пути "/admin". В Envoy 1.18.0+, настроенном с path_normalization=true. Envoy преобразует это в /app1/admin%23foo и не соответствует настроенному префиксу /admin. Полученный URI отправляется следующему серверу-агенту с нарушающим RFC3986 фрагментом "#foo" или с бессмысленным текстом "%23foo", добавленным в конец. Специально созданный запрос с URI, содержащим элемент '#fragment', доставленный ненадежным клиентом при наличии расширений авторизации запросов на основе пути, приводит к повышению привилегий при использовании расширений авторизации запросов на основе пути. Envoy версий 1.19.1, 1.18.4, 1.17.4, 1.16.5 содержат исправления, которые удаляют фрагмент из пути URI во входящих запросах.

CVE-2021-32777Envoy — это прокси-сервер L7 с открытым исходным кодом и коммуникационная шина, предназначенные для современных архитектур, ориентированных на крупные сервисы. В уязвимых версиях, когда расширение ext-authz отправляет заголовки запроса во внешнюю службу авторизации, оно должно объединять заголовки с несколькими значениями в соответствии со спецификацией HTTP. Однако отправляется только последнее значение заголовка. Это может позволить специально созданным запросам обойти авторизацию. Злоумышленники могут получить возможность повысить привилегии при использовании расширения ext-authz или серверной службы, использующей заголовки с несколькими значениями для авторизации. Специально созданный запрос может быть доставлен ненадежным подчиненным узлом при наличии расширения ext-authz. Envoy версий 1.19.1, 1.18.4, 1.17.4, 1.16.5 содержат исправления для расширения ext-authz, обеспечивающие правильное объединение нескольких значений заголовков запроса при отправке запроса на авторизацию.

CVE-2026-4636В Кейклоаке был обнаружен недостаток. Аутентифицированный пользователь с ролью uma_protection может обойти проверку политики пользовательского доступа (UMA). Это позволяет злоумышленнику включать идентификаторы ресурсов, принадлежащие другим пользователям, в запрос на создание политики, даже если на пути URL-адреса указан ресурс, принадлежащий злоумышленнику. Следовательно, злоумышленник получает несанкционированные разрешения на ресурсы, принадлежащие жертве, что позволяет им получить токен «Запрашивающая сторона» (RPT) и получать доступ к конфиденциальной информации или совершать несанкционированные действия.

CVE-2026-0707Недостаток был обнаружен в Кейклоаке. Парсер заголовка авторизации ключа является чрезмерно разрешительным в отношении форматирования схемы аутентификации «Предъявитель». Он принимает нестандартные символы (например, вкладки) в качестве сепараторов и терпит вариации случаев, которые отклонялись от спецификаций RFC 6750.