CWE-75КлассЧерновик
Неудаление специальных элементов в иной плоскости (внедрение специальных элементов)
Программный продукт не обеспечивает надлежащей фильтрации управляемых пользователем входных данных от специальных элементов, несущих управляющий смысл.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-50213Неспособность санировать специальные элементы в другую плоскость (специфическая инъекция элемента) в Apache Airflow Providers Snowflake.
Эта проблема затрагивает Apache Airflow Providers Snowflake: до 6.4.0.
Санитаризация параметров таблицы и этапа были добавлены в CopyFromExternalStageToSnowflakeOperator для предотвращения инъекций SQL
Пользователям рекомендуется обновиться до версии 6.4.0, которая устраняет проблему.
CVE-2024-35373Mocodo Mocodo Online 4.2.6 и более ранние версии уязвимы для удаленного выполнения кода через /web/rewrite.php.
CVE-2021-22911В сервере Rocket.Chat 3.11, 3.12 и 3.13 существует уязвимость неправильной очистки входных данных, которая может привести к неаутентифицированной NoSQL-инъекции, что потенциально может привести к RCE.
CVE-2021-22910В серверных версиях Rocket.Chat <3.13.2, <3.12.4, <3.11.4 существует уязвимость очистки, которая позволяла выполнять запросы к конечной точке, что могло привести к NoSQL-инъекции, потенциально приводящей к RCE.
CVE-2026-31908Уязвимость инъекций заголовка в Apache APISIX.
Злоумышленник может воспользоваться определенной конфигурацией в плагине вперед-авту для инъекции вредоносных заголовков.
Эта проблема затрагивает Apache APISIX: от 2.12.0 до 3.15.0.
Пользователям рекомендуется обновиться до версии 3.16.0, которая устраняет проблему.
CVE-2022-24039Обнаружена уязвимость в Desigo PXC4 (все версии < V02.20.142.10-10884), Desigo PXC5 (все версии < V02.20.142.10-10884). JavaScript-функция «addCell» не выполняет надлежащую очистку вводимых пользователем данных перед включением их в сгенерированное XML-тело документа отчета XLS, таким образом, можно внедрить произвольный контент (например, XML-теги) в сгенерированный файл. Злоумышленник с ограниченными привилегиями, отравляя любой контент, используемый для создания отчетов XLS, может использовать приложение для доставки вредоносных файлов пользователям с более высокими привилегиями и получить удаленное выполнение кода (RCE) на рабочей станции администратора.
CVE-2026-29042Nuclio - это «бессерверная» структура для событий в реальном времени и обработки данных. До версии 1.15.20 компонент Nuclio Shell Runtime содержит уязвимость командного впрыска в том, как он обрабатывает аргументы, поставляемые пользователем. Когда функция вызывается через HTTP, время выполнения считывает заголовок X-Nuclio-Arguments и напрямую включает его значение в команды оболочки без какой-либо проверки или дезинфекции. Этот вопрос был исправлен в версии 1.15.20.
CVE-2024-37779В WoodWing Elvis DAM v6.98.1 обнаружена уязвимость удаленного выполнения команд (RCE) с аутентификацией через функциональность скриптов Apache Ant.
CVE-2024-31809В TOTOLINK EX200 V4.0.3c.7646_B20201211 обнаружена уязвимость удаленного выполнения кода (RCE) через параметр FileName в функции setUpgradeFW.
CVE-2023-23912Уязвимость, обнаруженная в EdgeRouters версии 2.0.9-hotfix.5 и более ранних, а также в UniFi Security Gateways (USG) версии 4.4.56 и более ранних с делегированием префикса DHCPv6, установленным в dhcpv6-stateless или dhcpv6-stateful, позволяет злоумышленнику, непосредственно подключенному к интерфейсу WAN уязвимого устройства, создать уязвимость удаленного выполнения кода.
CVE-2021-39174Cachet — это система страниц статуса с открытым исходным кодом. До версии 2.5.1 аутентифицированные пользователи, независимо от их привилегий (Пользователь или Администратор), могут раскрыть значение любой записи конфигурации файла dotenv, например, секрет приложения (`APP_KEY`) и различные пароли (электронная почта, база данных и т. д.). Эта проблема была решена в версии 2.5.1 путем улучшения `UpdateConfigCommandHandler` и предотвращения использования вложенных переменных в результирующем файле конфигурации dotenv. В качестве обходного пути разрешите доступ к панели управления администрированием только доверенным IP-адресам источника.
CVE-2022-48217Компонент tf_remapper_node 1.1.1 для Robot Operating System (ROS) позволяет злоумышленникам, контролирующим исходный код другого узла в том же приложении ROS, изменять поведение робота. Это происходит потому, что имя темы зависит от контролируемого злоумышленником параметра old_tf_topic_name и/или new_tf_topic_name. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что "программист несет ответственность за то, чтобы устанавливались только известные и необходимые параметры, а неожиданные параметры не устанавливались".
CVE-2023-0302Не удалось очистить специальные элементы в другом плане (внедрение специальных элементов) в репозитории GitHub radareorg/radare2 до версии 5.8.2.
CVE-2024-24257Проблема в skteco.com Central Control Attendance Machine web management platform v.3.0 позволяет злоумышленнику получить конфиденциальную информацию через специально созданный скрипт для компонента csl/user.
CVE-2024-0801В Arcserve Unified Data Protection 9.2 и 8.1 в ASNative.dll существует уязвимость типа «отказ в обслуживании».