V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-644ВариантНеполный
Абстракция: Вариант
Статус: Неполный
Источник ↗

Некорректная нейтрализация HTTP-заголовков для синтаксиса скриптов

Программный продукт не нейтрализует или некорректно нейтрализует синтаксис веб-скриптов в HTTP-заголовках, которые могут обрабатываться компонентами браузера, способными обрабатывать заголовки в исходном виде, например Flash.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Связанные уязвимости

CVE-2025-52660HCL AION подвержен уязвимости UnRestricted File Upload. Это может позволить загрузку вредоносных файлов, что может привести к несанкционированному исполнению кода или компрометации системы.
CVE-2024-39736IBM Datacap Navigator 9.1.5, 9.1.6, 9.1.7, 9.1.8 и 9.1.9 уязвим для внедрения HTTP-заголовков, вызванного неправильной проверкой ввода заголовками HOST. Это может позволить злоумышленнику проводить различные атаки на уязвимую систему, включая межсайтовый скриптинг, отравление кеша или перехват сеанса. IBM X-Force ID: 296003.
CVE-2023-47143IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 - 7.3.0.10 уязвим для инъекции HTTP-заголовка, вызванной неправильной проверкой ввода заголовками HOST. Это может позволить злоумышленнику проводить различные атаки на уязвимую систему, включая межсайтовый скриптинг, отравление кеша или перехват сеанса. IBM X-Force ID: 270270.
CVE-2025-70948Уязвимость заголовка хоста в компоненте почтового ящика @perfood/couch-auth v0.26.0 позволяет злоумышленникам получить токены сброса и выполнить захват учетной записи с помощью подделки заголовка HTTP Host.
CVE-2026-26747Уязвимость отравления хост-холдером существует в Monica 4.1.2 из-за неправильной обработки заголовка хост-хэстера HTTP в приложении/Providers/AppServiceProvider.php в сочетании с неправильной конфигурацией по умолчанию, когда «app.force_url» не установлен и по умолчанию является «ложным». Приложение генерирует абсолютные URL-адреса (например, используемые в электронных письмах с сбросом пароля), используя пользовательский заголовок узла. Это позволяет удаленным злоумышленникам отравить ссылку сброса пароля, отправленную жертве,
CVE-2026-33805@fastify/reply-from v12.6.1 и ранее и @fastify/http-proxy v11.4.3 и более раннее обрабатывают заголовок подключения клиента после того, как прокси добавил свои собственные заголовки через rewriteRequestHeaders. Это позволяет злоумышленникам задним числом удалять заголовки с прокси-заголовки из запросов выше по потоку, перечисляя их в значении заголовка Connection. Любой заголовок, добавленный прокси для маршрутизации, контроля доступа или целей безопасности, может быть выборочно удален клиентом. @fastify/http-proxy также затрагивается, поскольку он делегируется @fastify/reply-from. Обновление до @fastify/reply-from v12.6.2 или @fastify/http-proxy v11.4.4 или более поздних версий.
CVE-2023-32465Dell Power Protect Cyber Recovery содержит уязвимость обхода аутентификации. Злоумышленник может воспользоваться этой уязвимостью, что приведет к несанкционированному административному доступу к приложению Cyber Recovery. Эксплуатация может привести к полному захвату системы злоумышленником.
CVE-2020-6982В Honeywell WIN-PAK 4.7.2, Web и более ранних версиях, была выявлена уязвимость внедрения заголовков, которая может позволить удаленно выполнить код.
CVE-2017-6031Обнаружена проблема инъекции заголовков в Certec EDV GmbH atvise scada до версии 3.0. Была выявлена проблема "неправильной нейтрализации HTTP-заголовков для синтаксиса сценариев", которая может позволить удаленное выполнение кода.
CVE-2026-26234JUNG Smart Visu Server 1.1.1050 содержит уязвимость манипулирования заголовком запроса, которая позволяет неаутентифицированным злоумышленникам переопределять URL-адреса запросов путем впрыскивания произвольных значений в заголовок X-Forwarded-Host. Злоумышленники могут манипулировать прокси-запросами, чтобы генерировать испорченные ответы, позволяя отравлять кэш, потенциальное фишинг и перенаправлять пользователей на вредоносные домены.
CVE-2025-64484OAuth2-Proxy - это инструмент с открытым исходным кодом, который может действовать как автономный обратный прокси или компонент промежуточной программы, интегрированный в существующие настройки обратного прокси или балансира нагрузки. В версиях до 7.13.0 все развертывания OAuth2 Proxy перед приложениями, которые нормализуют выделения для тире в HTTP-заголовках (например, фреймворки на основе WSGI, такие как приложения Django, Flask, FastAPI и PHP). Аутентифицированные пользователи могут вводить подчеркнутые варианты заголовков X-Forwarded-*, которые обходят логику фильтрации прокси, потенциально усиливая привилегии в приложении upstream. Аутентификация/авторизация прокси-сервера OAuth2 сама по себе не скомпрометирована. Проблема была исправлена с v7.13.0. По умолчанию все указанные заголовки теперь будут нормализованы, что означает, что как капитализация, так и использование подчеркивания (_) против тире (-) будут проигнорированы при сопоставлении заголовков, которые будут сняты. Например, как `X-Forwarded-For`, так и `X_Forwarded-for` теперь будут рассматриваться как эквивалентные и удалены. Для тех, у кого есть рациональный, который требует сохранения аналогичного заголовка и не удаления его, сопровождающие ввели новое поле конфигурации для Headers, управляемое через AlphaConfig под названием «InsecureSkipHeaderNormalization». В качестве обходного пути убедитесь, что логика фильтрации и обработки в службах добычи не обрабатывают нижние стержни и дефисы в Headers одинаково.
CVE-2025-64425Coolify - это открытый и самолюбимый инструмент для управления серверами, приложениями и базами данных. В версиях Coolify до v4.0.0-beta.434 включительно злоумышленник может инициировать сброс пароля для жертвы и изменить заголовок хоста запроса на вредоносное значение. Жертва получит электронную почту с сброса пароля со ссылкой на вредоносный хост. Если жертва переходит по этой ссылке, их токен сброса отправляется на сервер злоумышленника, что позволяет злоумышленнику использовать его для изменения пароля жертвы и захвата их учетной записи. На момент публикации неясно, доступен ли патч.
CVE-2024-10006В Consul и Consul Enterprise («Consul») была выявлена уязвимость, из-за которой использование заголовков в намерениях трафика L7 могло обходить правила доступа на основе HTTP-заголовков.
CVE-2026-33149Рецепты Tandoor - это приложение для управления рецептами, планирования блюд и создания списков покупок. Версии до и включительно 2.5.3 набор ALPOWED_HOSTS = '*' по умолчанию, что заставляет Django принимать любое значение в заголовке HTTP Host без проверки. Приложение использует request.build_absolute_uri() для генерации абсолютных URL-адресов в нескольких контекстах, включая электронные письма с ссылками на приглашение, pagination API и генерацию схемы OpenAPI. Злоумышленник, который может отправлять запросы в приложение с помощью созданного заголовка Host, может манипулировать всеми сгенерированными сервером абсолютными URL-адресами. Наиболее важным воздействием является отравление приглашенными ссылками: когда администратор создает приглашение, а приложение отправляет адрес электронной почты, ссылка указывает на сервер злоумышленника вместо реального приложения. Когда жертва нажимает на ссылку, токен приглашения отправляется злоумышленнику, который затем может использовать его в реальном приложении. На момент публикации неизвестно, доступна ли исправленная версия.
CVE-2025-0154IBM TXSeries для многоплатформенной работы 9.1 и 11.1 может раскрыть конфиденциальную информацию удаленному злоумышленнику из-за неправильной нейтрализации HTTP заголовков.