CWE-625БазаЧерновик
Слишком разрешительное регулярное выражение
Продукт использует регулярное выражение, недостаточно ограничивающее допустимое множество значений.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-32973OpenClaw до 2026.3.11 содержит уязвимость шунтирования разрешенного списка, где матчиExecAllowlistPattern неправильно нормализует шаблоны с нижнее оболочиванием и соответствием глобуса, которые превосходят на путях POSIX. Злоумышленники могут использовать подстановочный знак, соответствующий сегментам пути, для выполнения команд или путей, не предназначенных операторами.
CVE-2018-8926Уязвимость разрешительного регулярного выражения в synophoto_dsm_user в Synology Photo Station до версий 6.8.5-3471 и 6.3-2975 позволяет удаленным аутентифицированным пользователям проводить атаки с повышением привилегий через параметр fullname.
CVE-2026-34830Rack - это модульный интерфейс веб-сервера Ruby. До версий 2.2.23, 3.1.21 и 3.2.6 Rack::Sendfile#map_accel_path интерполирует значение заголовка запроса X-Accel-Mapping непосредственно в обычное выражение при переписыве файловых путей для X-Accel-Redirect. Поскольку значение заголовка не избегается, злоумышленник, который может поставлять X-Accel-Mapping на бэкэнд, может вводить метахарактеры regex и управлять сгенерированным заголовком ответа X-Accel-Redirect. При развертываниях с использованием Rack::Sendfile с x-accel-redirect это может позволить злоумышленнику заставлять nginx обслуживать непреднамеренные файлы из настроенных внутренних локаций. Эта проблема была исправлена в версиях 2.2.23, 3.1.21, и 3.2.6.
CVE-2026-23651Разрешительное регулярное выражение в галерее Azure Compute позволяет авторизованному злоумышленнику повысить привилегии на местном уровне.
CVE-2020-8910Проблема синтаксического анализа URL-адресов в goog.uri библиотеки Google Closure Library версий до v20200224 включительно позволяет злоумышленнику отправлять вредоносные URL-адреса для анализа библиотекой и возвращать неправильный центр. Mitigation: обновите свою библиотеку до версии v20200315.
CVE-2023-6544Обнаружена уязвимость в пакете Keycloak. Эта проблема возникает из-за разрешительного регулярного выражения, жестко закодированного для фильтрации, которое позволяет хостам регистрировать динамический клиент. Злоумышленник, обладающий достаточной информацией об окружении, может поставить под угрозу окружение с этой конкретной конфигурацией Dynamic Client Registration и TrustedDomain, ранее несанкционированной.
CVE-2026-34763Rack - это модульный интерфейс веб-сервера Ruby. Перед версиями 2.2.23, 3.1.21 и 3.2.6, Rack::Directory интерполирует сконфигурированный root-путь непосредственно в регулярное выражение при происшествии отображаемого пути каталога. Если root содержит мета-характеры regex, такие как +, * или ., зачистка префикса может потерпеть неудачу, и сгенерированный список каталогов может раскрыть полный путь файловой системы в HTML-выводе. Этот вопрос был исправлен в версиях 2.2.23, 3.1.21 и 3.2.6.
CVE-2023-43494Jenkins 2.50 по 2.423 (включительно), LTS 2.60.1 по 2.414.1 (включительно) не исключает конфиденциальные переменные сборки (например, значения параметров пароля) из поиска в виджете истории сборки, что позволяет злоумышленникам с разрешением Item/Read получать значения конфиденциальных переменных, используемых в сборках, путем итеративного тестирования различных символов до тех пор, пока не будет обнаружена правильная последовательность.