CWE-96БазаЧерновик
Некорректная нейтрализация директив в статически сохранённом коде ('Внедрение статического кода')
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует синтаксис кода перед вставкой этих данных в исполняемый ресурс — библиотеку, файл конфигурации или шаблон.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2024-13264Неправильная нейтрализация директив в статически сохраненном коде ('Static Code Injection') уязвимость в Drupal Opigno module допускает PHP Local File Inclusion. Эта проблема затрагивает Opigno module: от 0.0.0 до 3.1.2.
CVE-2023-40397Проблема была решена с улучшенными проверками. Эта проблема устранена в macOS Ventura 13.5. Удалённый злоумышленник может вызвать выполнение произвольного кода JavaScript.
CVE-2023-39726Проблема в Mintty v.3.6.4 и более ранних версиях позволяет удаленному злоумышленнику выполнять произвольный код с помощью специально созданных команд для терминала.
CVE-2022-0895Внедрение статического кода в репозитории GitHub microweber/microweber до версии 1.3.
CVE-2020-6144В функциональности установки OS4Ed openSIS 7.4 существует уязвимость удаленного выполнения кода. Переменная username, которая устанавливается в строке 121 в install/Step5.php, позволяет внедрять PHP-код в файл Data.php, который она записывает. Злоумышленник может отправить HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2020-6143В функциональности установки OS4Ed openSIS 7.4 существует уязвимость удаленного выполнения кода. Переменная password, которая устанавливается в строке 122 в install/Step5.php, позволяет внедрять PHP-код в файл Data.php, который она записывает. Злоумышленник может отправить HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2025-30091В Tiny MoxieManager PHP до версии 4.0.0 может произойти удаленное выполнение кода в команде установщика. Эта уязвимость позволяет неаутентифицированным злоумышленникам вводить и выполнять произвольный код. Данные, контролируемые злоумышленником, могут быть добавлены в InstallCommand в config.php, и InstallCommand доступен после завершения установки.
CVE-2024-55877XWiki Platform — это универсальная платформа вики. Начиная с версии 9.7-rc-1 и до версий 15.10.11, 16.4.1 и 16.5.0, любой пользователь с учетной записью может выполнить произвольное удаленное выполнение кода, добавляя экземпляры `XWiki.WikiMacroClass` на любую страницу. Это ставит под угрозу конфиденциальность, целостность и доступность всей установки XWiki. Эта уязвимость была устранена в XWiki 15.10.11, 16.4.1 и 16.5.0. В качестве обходного пути можно вручную применить исправление к странице `XWiki.XWikiSyntaxMacrosList`.
CVE-2024-55662XWiki Platform — это универсальная платформа вики. Начиная с версии 3.3-milestone-1 и до версий 15.10.9 и 16.3.0, в экземплярах, где установлено `Extension Repository Application`, любой пользователь может выполнять любой код, требующий прав `programming` на сервере. Эта уязвимость была устранена в XWiki 15.10.9 и 16.3.0. Поскольку `Extension Repository Application` не является обязательным, его можно безопасно отключить в экземплярах, которые не используют его в качестве обходного пути. Также можно вручную применить исправления из коммита 8659f17d500522bf33595e402391592a35a162e8 к странице `ExtensionCode.ExtensionSheet` и к странице `ExtensionCode.ExtensionAuthorsDisplayer`.
CVE-2022-43938Pentaho Business Analytics Server Hitachi Vantara до версий 9.4.0.1 и 9.3.0.2, включая 8.3.x не позволяет системному администратору отключить возможности сценариев для отчетов Pentaho (*.prpt) через менеджер сценариев JVM.
CVE-2019-1003031В Jenkins Matrix Project Plugin 1.13 и более ранних версиях в pom.xml, src/main/java/hudson/matrix/FilterScript.java существует уязвимость обхода песочницы, которая позволяет злоумышленникам с разрешением Job/Configure выполнять произвольный код на Jenkins master JVM.
CVE-2019-1003029Уязвимость обхода песочницы существует в плагине безопасности скриптов Jenkins 1.53 и более ранних версиях в src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java, которая позволяет нападающим с разрешением Overall/Read выполнять произвольный код на главном JVM Jenkins.
CVE-2019-1003024В Jenkins Script Security Plugin 1.52 и более ранних версиях в RejectASTTransformsCustomizer.java существует уязвимость обхода песочницы, которая позволяет злоумышленникам с разрешением Overall/Read предоставлять Groovy-скрипт в HTTP-endpoint, что может привести к выполнению произвольного кода на Jenkins master JVM.
CVE-2019-1003005В Jenkins Script Security Plugin 1.50 и более ранних версиях в src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java существует уязвимость обхода песочницы, которая позволяет злоумышленникам с разрешением Overall/Read предоставлять Groovy-скрипт в HTTP-endpoint, что может привести к выполнению произвольного кода на Jenkins master JVM.
CVE-2019-1003002В Pipeline: Declarative Plugin 1.3.3 и более ранних версиях в pipeline-model-definition/src/main/groovy/org/jenkinsci/plugins/pipeline/modeldefinition/parser/Converter.groovy существует уязвимость обхода песочницы, которая позволяет злоумышленникам с разрешением Overall/Read предоставлять скрипт конвейера в HTTP-endpoint, что может привести к выполнению произвольного кода на Jenkins master JVM.