CWE-88БазаЧерновик
Некорректная нейтрализация разделителей аргументов в команде («Внедрение аргументов»)
Продукт формирует строку команды для исполнения отдельным компонентом в другой сфере управления, однако не разграничивает должным образом предполагаемые аргументы, параметры или ключи внутри строки команды.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2007-0882Уязвимость внедрения аргументов в демоне telnet (in.telnetd) в Solaris 10 и 11 (SunOS 5.10 и 5.11) неправильно интерпретирует определенные клиентские последовательности "-f" как действительные запросы для программы входа в систему, чтобы пропустить аутентификацию, что позволяет удаленным злоумышленникам входить в определенные учетные записи, как продемонстрировано учетной записью bin.
CVE-2004-0480Уязвимость внедрения аргументов в IBM Lotus Notes 6.0.3 и 6.5 позволяет удаленным злоумышленникам выполнять произвольный код через URI notes:, который использует имя UNC-сетевой папки для предоставления альтернативного файла конфигурации notes.ini для notes.exe.
CVE-1999-0113Некоторые реализации rlogin позволяют получить root-доступ, если задан параметр -froot.
CVE-2026-47365Уязвимость от инъекций аргументов в WordPress Toolkit до 6.11.0, как используется в cPanel & WHM, позволяет удаленным аутентифицированным пользователям обходить авторизацию через договор арендаторов и выполнять произвольные команды CLI-инструменты в качестве другой учетной записи.
CVE-2026-44450Lumiverse - полнофункциональное приложение для чата AI. До 0.9.7 конечная точка создания сервера MCP проверяет поле командования по разрешенному списку двоичных имен, но перенаправляет массив args в детский процесс без какой-либо проверки. Каждый двоичный файл в разрешателе принимает флаг выполнения встроенного кода (-e для узла/bun, -c для python3/deno), давая любое зарегистрированное пользовательское произвольное выполнение кода на уровне ОС Lumiverse на сервере Lumiverse. Маршрут требует только требования Auth (не требуется Владелец). Сервер связывается со всеми интерфейсами (::), а проверка пересвязки хост-хэдера тривиально обходит любой HTTP-клиент, который отправляет Host: localhost:<port> напрямую, что делает его эксплуатируемым с любой машины с сетевым доступом к порту сервера. Эта уязвимость зафиксирована в 0.9.7.
CVE-2024-39930Встроенный SSH-сервер Gogs через 0.13.0 позволяет инъекции аргумента в inin/ssh/ssh.go, что приводит к удаленному исполнению кода. Аутентифицированные злоумышленники могут использовать это, открыв соединение SSH и отправив вредоносный запрос на подключение с раздвоенной строкой, если активирован встроенный сервер SSH. Установки Windows не затронуты.
CVE-2018-3856В конфигурации RTSP для смарт-камер Samsung SmartThings Hub STH-ETH-250 — версия прошивки 0.20.17 — существует уязвимость, которую можно использовать. Устройство неправильно обрабатывает пробелы в поле URL, что приводит к произвольной инъекции команд операционной системы. Злоумышленник может отправить серию HTTP-запросов, чтобы вызвать эту уязвимость.
CVE-2026-42284Выполнение произвольного кода в GitPython
CVE-2026-31230Средство инструментальной связки с состязательной вязкостью (АРТ) через 1.20.1 содержит уязвимость аргументированной инъекции командной строки в компоненте Kubeflow (robustness_evaluation_fgsm_pytorch.py). Скрипт использует функцию небезопасного eval() для разбирания значений строк, предоставляемых через аргументы командной строки -clip_values и --input_shape command-line. Это позволяет злоумышленнику вводить произвольный код Python в эти аргументы, которые будут выполняться при вызове eval(). Уязвимость может быть использована удаленно, если злоумышленник может контролировать эти аргументы (например, через конфигурацию конвейера или автоматические скрипты), что приводит к произвольному исполнению кода в системе, проводящую оценку ART.
CVE-2026-24061telneted in GNU Inetutils через 2.7 позволяет удаленную аутентификацию обходить через значение «-f root» для переменной среды ПОЛЬЗУ.
CVE-2026-22583Неправильное нейтрализованное делимитирование аргументов в командной («идрандукция аргумента») в Salesforce Marketing Cloud Engagement (модуль CloudPagesUrl) позволяет осуществлять манипулирование протоколом веб-сервисов. Эта проблема затрагивает маркетинговое облачное участие: до 21 января 2026 года.
CVE-2026-22582Неправильное нейтрализованное делимитирование делимитаторов аргументов в командной («инъекция аргумента») в Salesforce Marketing Cloud Engagement (модуль MicrositeUrl) позволяет осуществлять манипулирование протоколом веб-сервисов. Эта проблема затрагивает маркетинговое облачное участие: до 21 января 2026 года.
CVE-2025-70327TOTOLINK X5000R v9.1.0cu_2415_B20250515 содержит уязвимость к инъекции аргумента в обработчике setDiagnosisCfg исполняемого файла /usr/sbin/lighttpd. Параметр ip извлекается через websGetVar и передается на команду ping через CsteSystem без проверки, если вход начинается с дефиса (-). Это позволяет удаленным аутентифицированным злоумышленникам вводить произвольные параметры командной строки в ping-утилюту, что может привести к отказу в обслуживании (DoS), вызывая чрезмерное потребление ресурсов или длительное выполнение.
CVE-2025-3945Уязвимость неправильной нейтрализации разделителей аргументов в команде ('Injection аргументов') в Tridium Niagara Framework на QNX, Tridium Niagara Enterprise Security на QNX позволяет выполнять разделители команд. Эта проблема затрагивает Niagara Framework: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11; Niagara Enterprise Security: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11. Tridium рекомендует обновиться до версий Niagara Framework и Enterprise Security 4.14.2u2, 4.15.u1 или 4.10u.11 [1].
Источники:
- [1] https://honeywell.com/us/en/product-security#security-notices
- [2] https://docs.niagara-community.com/category/tech_bull
CVE-2024-47516В Pagure была обнаружена уязвимость. Внедрение аргумента в Git при извлечении истории репозитория приводит к удалённому выполнению кода в экземпляре Pagure.