CWE-647ВариантНеполный
Использование неканонических URL-путей для принятия решений об авторизации
Программный продукт определяет пространства имён политик и принимает решения об авторизации, исходя из предположения о каноничности URL. Это позволяет неканоническому URL обойти авторизацию.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2022-43939Hitachi Vantara Pentaho Business Analytics Server версий до 9.4.0.1 и 9.3.0.2, включая 8.3.x, имеют ограничения безопасности с использованием неканонических URL, которые могут быть обойдены.
CVE-2025-64500Symfony - это PHP-фреймворк для веб-приложений и консольных приложений и набор многоразовых компонентов PHP. Компонент HttpFoundation от Symfony определяет объектно-ориентированный уровень для спецификации HTTP. Начиная с версий 2.0.0 и до версий 5.4.50, 6.4.29 и 7.3.7, класс «Запрос» неправильно интерпретирует некоторые `PATH_INFO` таким образом, что представляет некоторые URL-адреса с пути, который не начинается с `/`. Это может позволить обойти некоторые правила контроля доступа, которые построены с этим `/`-предварительном допущением. Начиная с версий 5.4.50, 6.4.29 и 7.3.7, класс «Запрос» теперь гарантирует, что URL-адреса всегда начинаются с `/`.
CVE-2025-9909Недостаток был обнаружен в компоненте создания маршрута Red Hat Ansible Automation Gateway. Эта уязвимость позволяет кражу учетных данных путем создания вводящими в заблуждение маршрутами с использованием префикса с двойным сжатием (//) в gateway_path. Вредоносный или социально разработанный администратор может настроить маршрут медового горшка для перехвата и эксфильтрации учетных данных пользователя, потенциально сохраняя постоянный доступ или создавая бэкдор даже после того, как их разрешения будут отозваны.
CVE-2025-66202Astro - это веб-фреймворк. Версии 5.15.7 и ниже имеют двойное кодирование URL-обхода, которое позволяет любому злоумышленнику без аутентификации обходить проверки аутентификации на основе пути в промежуточное программное обеспечение Astro, предоставляя несанкционированный доступ к защищенным маршрутам. В то время как оригинальный CVE-2025-64765 был зафиксирован в v5.15.8, исправление недостаточно, поскольку оно декодирует только один раз. Используя двукодированные URL-адреса, злоумышленники все еще могут обойти аутентификацию и получить доступ к любому маршруту, защищенному проверками фамилии промежуточных программ. Эта проблема исправлена в версии 5.15.8.
CVE-2025-47241В browser-use (aka Browser Use) до версии 0.1.45 разбор URL-адресов allowed_domains осуществляется неверно, поскольку userinfo может быть размещен в компоненте authority [1].
Источники:
- [1] https://github.com/browser-use/browser-use/security/advisories/GHSA-x39x-9qw5-ghrf
- [2] https://github.com/browser-use/browser-use/releases/tag/0.1.45
- [3] https://github.com/browser-use/browser-use/pull/1561
CVE-2025-43916API Sonos через 2025-04-21, при использовании конечной точки /login/v3/oauth, принимает redirect_uri, содержащий userinfo в компоненте authority, что не соответствует RFC 6819, раздел 5.2.3.5. Код авторизации может быть отправлен на контролируемый злоумышленником целевой ресурс. Это может иметь дальнейшие последствия в сочетании с "Декомпилированный APK выявил жестко закодированный секрет" [1].
Источники:
- [1] https://github.com/larlarua/vulnerability-reports/blob/main/CVE-2025-43916/detail.md
CVE-2026-5222Груз между 1.68 и 1.96 неправильно нормализовал URL-адреса сторонних реестров, используя протокол сближения индекса. Если хостинг-провайдер разрешил размещать несколько реестров с произвольными именами в одном и том же домене, злоумышленник, способный публиковать ящики в реестре, мог получить учетные данные других пользователей того же реестра. Серьезность уязвимости **low** из-за чрезвычайно нишевых требований, необходимых для достижения атаки.