CVEbaza.plSłownik CWECWE-116
Common Weakness Enumeration

CWE-116

Improper Encoding or Escaping of Output

Kategoria: ClassCVE: 498
Opis

Produkt przygotowuje ustrukturyzowaną wiadomość do komunikacji z innym komponentem, ale kodowanie lub unikanie danych jest albo brakujące, albo wykonane nieprawidłowo. W wyniku tego pierwotna struktura wiadomości nie zostaje zachowana.

Description (EN)

The product prepares a structured message for communication with another component, but encoding or escaping of the data is either missing or done incorrectly. As a result, the intended structure of the message is not preserved.

Podatności CVE z CWE-116 (498)
10.0
CVSS
CRITICAL
CVE-2025-55729

Podatność w komponencie XWiki Remote Macros (xwiki-pro-macros) umożliwia zdalne wykonanie kodu (RCE) każdemu użytkownikowi posiadającemu uprawnienia do edycji dowolnej strony. Krytyczny poziom zagrożenia wynika z braku konieczności uwierzytelnienia uprzywilejowanego oraz pełnego zasięgu ataku – od poufności, przez integralność, po dostępność systemu.

pub. 2025-09-09
10.0
CVSS
CRITICAL
CVE-2025-55730

Podatność w rozszerzeniu XWiki Remote Macros umożliwia zdalne wykonanie kodu (RCE) przez każdego użytkownika posiadającego uprawnienia do edycji dowolnej strony. Wynika z braku escapowania parametru w makrze confluence paste code, co pozwala na wstrzyknięcie składni XWiki.

pub. 2025-09-09
10.0
CVSS
CRITICAL
CVE-2023-47143

IBM Tivoli Application Dependency Discovery Manager w wersjach 7.3.0.0–7.3.0.10 jest podatny na atak typu HTTP header injection poprzez nagłówek HOST. Podatność uzyskała najwyższy możliwy wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla systemów, na których jest wdrożona.

pub. 2024-02-02
9.9
CVSS
CRITICAL
CVE-2025-49013

Projekty organizacji WilderForge zawierają krytyczną podatność polegającą na niebezpiecznym użyciu zmiennych kontrolowanych przez użytkownika (np. `${{ github.event.review.body }}`) bezpośrednio w kontekstach skryptów powłoki w przepływach GitHub Actions. Atakujący może wstrzyknąć dowolny kod powłoki poprzez spreparowaną recenzję pull requesta, co prowadzi do przejęcia kontroli nad infrastrukturą CI/CD.

pub. 2025-06-09
9.9
CVSS
CRITICAL
CVE-2023-26472

XWiki Platform is a generic wiki platform. Starting in version 6.2-milestone-1, one can execute any wiki content with the right of IconThemeSheet author by creating an icon theme with certain content. This can be done by creating a new page or even through the user profile for users not having edit right. The issue has been patched in XWiki 14.9, 14.4.6, and 13.10.10. An available workaround is to fix the bug in the page `IconThemesCode.IconThemeSheet` by applying a modification from commit 48caf7491595238af2b531026a614221d5d61f38.

pub. 2023-03-02
9.9
CVSS
CRITICAL
CVE-2022-41934

XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user with view rights on commonly accessible documents including the menu macro can execute arbitrary Groovy, Python or Velocity code in XWiki leading to full access to the XWiki installation due to improper escaping of the macro content and parameters of the menu macro. The problem has been patched in XWiki 14.6RC1, 13.10.8 and 14.4.3. The patch (commit `2fc20891`) for the document `Menu.MenuMacro` can be manually applied or a XAR archive of a patched version can be imported. The menu macro was basically unchanged since XWiki 11.6 so on XWiki 11.6 or later the patch for version of 13.10.8 (commit `59ccca24a`) can most likely be applied, on XWiki version 14.0 and later the versions in XWiki 14.6 and 14.4.3 should be appropriate.

pub. 2022-11-23
9.9
CVSS
CRITICAL
CVE-2022-36099

XWiki Platform Wiki UI Main Wiki is software for managing subwikis on XWiki Platform, a generic wiki platform. Starting with version 5.3-milestone-2 and prior to versions 13.10.6 and 14.4, it's possible to inject arbitrary wiki syntax including Groovy, Python and Velocity script macros via the request (URL parameter) using the `XWikiServerClassSheet` if the user has view access to this sheet and another page that has been saved with programming rights, a standard condition on a public read-only XWiki installation or a private XWiki installation where the user has an account. This allows arbitrary Groovy/Python/Velocity code execution which allows bypassing all rights checks and thus both modification and disclosure of all content stored in the XWiki installation. Also, this could be used to impact the availability of the wiki. This has been patched in versions 13.10.6 and 14.4. As a workaround, edit the affected document `XWiki.XWikiServerClassSheet` or `WikiManager.XWikiServerClassSheet` and manually perform the changes from the patch fixing the issue. On XWiki versions 12.0 and later, it is also possible to import the document `XWiki.XWikiServerClassSheet` from the xwiki-platform-wiki-ui-mainwiki package version 14.4 using the import feature of the administration application as there have been no other changes to this document since XWiki 12.0.

pub. 2022-09-08
9.9
CVSS
CRITICAL
CVE-2022-36100

XWiki Platform Applications Tag and XWiki Platform Tag UI are tag applications for XWiki, a generic wiki platform. Starting with version 1.7 in XWiki Platform Applications Tag and prior to 13.10.6 and 14.4 in XWiki Platform Tag UI, the tags document `Main.Tags` in XWiki didn't sanitize user inputs properly. This allowed users with view rights on the document (default in a public wiki or for authenticated users on private wikis) to execute arbitrary Groovy, Python and Velocity code with programming rights. This also allowed bypassing all rights checks and thus both modification and disclosure of all content stored in the XWiki installation. The vulnerability could be used to impact the availability of the wiki. On XWiki versions before 13.10.4 and 14.2, this can be combined with CVE-2022-36092, meaning that no rights are required to perform the attack. The vulnerability has been patched in versions 13.10.6 and 14.4. As a workaround, the patch that fixes the issue can be manually applied to the document `Main.Tags` or the updated version of that document can be imported from version 14.4 of xwiki-platform-tag-ui using the import feature in the administration UI on XWiki 10.9 and later.

pub. 2022-09-08
9.9
CVSS
CRITICAL
CVE-2022-23603

iTunesRPC-Remastered is a discord rich presence application for use with iTunes & Apple Music. In code before commit 24f43aa user input is not properly sanitized and code injection is possible. Users are advised to upgrade as soon as is possible. There are no known workarounds for this issue.

pub. 2022-02-01
9.8
CVSS
CRITICAL
CVE-2026-54133

Biblioteka jmespath.php w wersjach wcześniejszych niż 2.9.1 pozwala atakującemu na wstrzyknięcie i wykonanie dowolnego kodu PHP poprzez spreparowane wyrażenie JMESPath przetwarzane przez komponent CompilerRuntime. Podatność umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia, co czyni ją krytycznym zagrożeniem dla aplikacji PHP korzystających z tej biblioteki.

pub. 2026-06-12
9.8
CVSS
CRITICAL
CVE-2025-56266

Podatność typu Host Header Injection w Avigilon ACM v7.10.0.20 pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność stanowi krytyczne zagrożenie dla systemów kontroli dostępu.

pub. 2025-09-08
9.8
CVSS
CRITICAL
CVE-2025-31651

Podatność w Apache Tomcat umożliwia obejście niektórych reguł rewrite za pomocą specjalnie spreparowanego żądania HTTP. Jeśli ominięte reguły wymuszały ograniczenia bezpieczeństwa, możliwe jest ich całkowite pominięcie bez uwierzytelnienia.

pub. 2025-04-28
9.8
CVSS
CRITICAL
CVE-2024-10441

Podatność nieprawidłowego kodowania lub escapowania danych wyjściowych w daemonie systemowego pluginu Synology BeeStation OS (BSM) oraz DiskStation Manager (DSM) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Krytyczny wynik CVSS 9.8 wskazuje na bardzo wysokie ryzyko dla wszystkich podatnych urządzeń dostępnych z sieci.

pub. 2025-03-19
9.8
CVSS
CRITICAL
CVE-2024-38474

Podatność w module mod_rewrite serwera Apache HTTP Server 2.4.59 i wcześniejszych umożliwia atakującemu wykonanie skryptów w katalogach niedostępnych bezpośrednio przez URL lub ujawnienie kodu źródłowego skryptów przeznaczonych wyłącznie do wykonania jako CGI. Ze względu na brak wymagań dotyczących uwierzytelnienia i niską złożoność ataku podatność jest oceniana jako krytyczna.

pub. 2024-07-01
9.8
CVSS
CRITICAL
CVE-2024-31866

Podatność w Apache Zeppelin wynikająca z nieprawidłowego kodowania lub escapowania danych wyjściowych umożliwia nieuwierzytelnionemu atakującemu wykonanie złośliwego kodu. Wysoki wynik CVSS 9.8 i brak wymagań dotyczących uwierzytelnienia czynią ją szczególnie niebezpieczną.

pub. 2024-04-09
9.8
CVSS
CRITICAL
CVE-2023-38316

An issue was discovered in OpenNDS Captive Portal before version 10.1.2. When the custom unescape callback is enabled, attackers can execute arbitrary OS commands by inserting them into the URL portion of HTTP GET requests. Affected OpenNDS Captive Portal before version 10.1.2 fixed in OpenWrt master, OpenWrt 23.05 and OpenWrt 22.03 on 28. August 2023 by updating OpenNDS to version 10.1.3.

pub. 2023-11-17
9.8
CVSS
CRITICAL
CVE-2023-48655

An issue was discovered in MISP before 2.4.176. app/Controller/Component/IndexFilterComponent.php does not properly filter out query parameters.

pub. 2023-11-17
9.8
CVSS
CRITICAL
CVE-2023-46300

iTerm2 before 3.4.20 allow (potentially remote) code execution because of mishandling of certain escape sequences related to tmux integration.

pub. 2023-10-22
9.8
CVSS
CRITICAL
CVE-2023-46301

iTerm2 before 3.4.20 allow (potentially remote) code execution because of mishandling of certain escape sequences related to upload.

pub. 2023-10-22
9.8
CVSS
CRITICAL
CVE-2023-24480

Controller DoS due to stack overflow when decoding a message from the server.  See Honeywell Security Notification for recommendations on upgrading and versioning.

pub. 2023-07-13
Pokazano 20 z 498 podatności
Informacje
ID: CWE-116
Typ: Class
Podatności: 498
MITRE CWE ↗
← Słownik CWE
CWE-116 — Nieprawidłowe kodowanie lub unikanie wyjścia danych | Słownik CWE | CVEbaza.pl