CVEbaza.plSłownik CWECWE-184
Common Weakness Enumeration

CWE-184

Incomplete List of Disallowed Inputs

Kategoria: BaseCVE: 141
Opis

Produkt implementuje mechanizm ochrony oparty na liście danych wejściowych (lub ich właściwości), które są niedozwolone zgodnie z polityką lub wymagają podjęcia innych działań w celu neutralizacji przed dalszym przetwarzaniem, jednak lista ta jest niekompletna. Ta niekompletność może pozwolić na obejście mechanizmu zabezpieczającego poprzez dostarczenie danych nie uwzględnionych na liście.

Description (EN)

The product implements a protection mechanism that relies on a list of inputs (or properties of inputs) that are not allowed by policy or otherwise require other action to neutralize before additional processing takes place, but the list is incomplete.

Podatności CVE z CWE-184 (141)
10.0
CVSS
CRITICAL
CVE-2026-49869

Błąd w logice uwierzytelniania platformy orkiestracyjnej Kestra pozwala nieuwierzytelnionemu atakującemu ominąć Basic Auth i tworzyć oraz uruchamiać dowolne workflow. Bezpośrednim skutkiem jest unauthenticated Remote Code Execution z uprawnieniami root wewnątrz kontenera Kestra worker.

pub. 2026-06-26
9.9
CVSS
CRITICAL
CVE-2026-33396

Podatność w OneUptime (platforma monitoringu open-source) umożliwia nisko uprzywilejowanemu uwierzytelnionemu użytkownikowi (ProjectMember) zdalne wykonanie kodu (RCE) na kontenerze/hoście Probe. Wynika z niekompletnej listy blokowanych właściwości w sandboxie wykonującym skrypty Playwright.

pub. 2026-03-26
9.9
CVSS
CRITICAL
CVE-2026-28363

W OpenClaw przed wersją 2026.2.23 możliwe jest obejście mechanizmu walidacji bezpiecznych poleceń (safeBins) dla narzędzia 'sort' poprzez użycie skróconych form długich opcji GNU. Umożliwia to atakującemu wykonanie ścieżek kodu wymagających zatwierdzenia bez uzyskania rzeczywistej zgody.

pub. 2026-02-27
9.8
CVSS
CRITICAL
CVE-2023-3374

Incomplete List of Disallowed Inputs vulnerability in Unisign Bookreen allows Privilege Escalation.This issue affects Bookreen: before 3.0.0.

pub. 2023-09-05
9.8
CVSS
CRITICAL
CVE-2019-9212

SOFA-Hessian through 4.0.2 allows remote attackers to execute arbitrary commands via a crafted serialized Hessian object because blacklisting of com.caucho.naming.QName and com.sun.org.apache.xpath.internal.objects.XString is mishandled, related to Resin Gadget. NOTE: The vendor doesn’t consider this issue a vulnerability because the blacklist is being misused. SOFA Hessian supports custom blacklist and a disclaimer was posted encouraging users to update the blacklist or to use the whitelist feature for their specific needs since the blacklist is not being actively updated

pub. 2019-02-27
9.8
CVSS
CRITICAL
CVE-2018-7489

FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.

pub. 2018-02-26
9.8
CVSS
CRITICAL
CVE-2017-15095

A deserialization flaw was discovered in the jackson-databind in versions before 2.8.10 and 2.9.1, which could allow an unauthenticated user to perform code execution by sending the maliciously crafted input to the readValue method of the ObjectMapper. This issue extends the previous flaw CVE-2017-7525 by blacklisting more classes that could be used maliciously.

pub. 2018-02-06
9.8
CVSS
CRITICAL
CVE-2017-7525

A deserialization flaw was discovered in the jackson-databind, versions before 2.6.7.1, 2.7.9.1 and 2.8.9, which could allow an unauthenticated user to perform code execution by sending the maliciously crafted input to the readValue method of the ObjectMapper.

pub. 2018-02-06
9.8
CVSS
CRITICAL
CVE-2017-0909

The private_address_check ruby gem before 0.4.1 is vulnerable to a bypass due to an incomplete blacklist of common private/local network addresses used to prevent server-side request forgery.

pub. 2017-11-16
9.8
CVSS
CRITICAL
CVE-2017-7540

rubygem-safemode, as used in Foreman, versions 1.3.2 and earlier are vulnerable to bypassing safe mode limitations via special Ruby syntax. This can lead to deletion of objects for which the user does not have delete permissions or possibly to privilege escalation.

pub. 2017-07-21
9.4
CVSS
CRITICAL
CVE-2026-28783

Craft CMS implementuje bloklistę niebezpiecznych funkcji PHP wywoływanych przez szablony Twig, jednak lista ta jest niekompletna. Umożliwia to uwierzytelnionym użytkownikom z odpowiednimi uprawnieniami wykonanie dowolnego kodu, odczyt plików, SSRF lub SSTI.

pub. 2026-03-04
9.3
CVSS
CRITICAL
CVE-2026-56315

picklescan przed wersją 1.0.4 nie blokuje co najmniej siedmiu modułów ze standardowej biblioteki Pythona, przez co atakujący może przemycić złośliwy plik pickle omijający mechanizmy bezpieczeństwa narzędzia. Luka jest szczególnie groźna, ponieważ picklescan jest stosowany właśnie jako bariera ochronna przed złośliwymi plikami pickle.

pub. 2026-06-23
9.3
CVSS
CRITICAL
CVE-2026-34415

Xerte Online Toolkits w wersjach 3.15 i wcześniejszych zawiera lukę w walidacji danych wejściowych w endpoincie elFinder, która nie blokuje rozszerzenia .php4 z powodu błędnego wyrażenia regularnego. Nieuwierzytelniony atakujący może połączyć tę podatność z obejściem uwierzytelnienia i path traversal, aby przesłać złośliwy kod PHP i wykonać dowolne polecenia systemowe na serwerze.

pub. 2026-04-22
9.3
CVSS
CRITICAL
CVE-2026-32940

SiYuan w wersjach 3.6.0 i wcześniejszych zawiera podatność XSS wynikającą z niekompletnej listy blokowanych typów MIME w funkcji SanitizeSVG oraz braku escapowania danych wejściowych w endpoincie /api/icon/getDynamicIcon. Atakujący może nakłonić użytkownika do kliknięcia spreparowanego linku SVG, co prowadzi do wykonania kodu JavaScript w przeglądarce ofiary.

pub. 2026-03-20
9.3
CVSS
CRITICAL
CVE-2025-58361

Promptcraft Forge Studio zawiera niekompletny mechanizm walidacji schematów URL, który nie chroni przed atakami XSS. Atakujący może osadzić złośliwy skrypt poprzez adresy URL oparte na schemacie 'data:', omijając istniejące zabezpieczenia.

pub. 2025-09-04
9.3
CVSS
CRITICAL
CVE-2023-45133

Babel is a compiler for writingJavaScript. In `@babel/traverse` prior to versions 7.23.2 and 8.0.0-alpha.4 and all versions of `babel-traverse`, using Babel to compile code that was specifically crafted by an attacker can lead to arbitrary code execution during compilation, when using plugins that rely on the `path.evaluate()`or `path.evaluateTruthy()` internal Babel methods. Known affected plugins are `@babel/plugin-transform-runtime`; `@babel/preset-env` when using its `useBuiltIns` option; and any "polyfill provider" plugin that depends on `@babel/helper-define-polyfill-provider`, such as `babel-plugin-polyfill-corejs3`, `babel-plugin-polyfill-corejs2`, `babel-plugin-polyfill-es-shims`, `babel-plugin-polyfill-regenerator`. No other plugins under the `@babel/` namespace are impacted, but third-party plugins might be. Users that only compile trusted code are not impacted. The vulnerability has been fixed in `@babel/traverse@7.23.2` and `@babel/traverse@8.0.0-alpha.4`. Those who cannot upgrade `@babel/traverse` and are using one of the affected packages mentioned above should upgrade them to their latest version to avoid triggering the vulnerable code path in affected `@babel/traverse` versions: `@babel/plugin-transform-runtime` v7.23.2, `@babel/preset-env` v7.23.2, `@babel/helper-define-polyfill-provider` v0.4.3, `babel-plugin-polyfill-corejs2` v0.4.6, `babel-plugin-polyfill-corejs3` v0.8.5, `babel-plugin-polyfill-es-shims` v0.10.0, `babel-plugin-polyfill-regenerator` v0.5.3.

pub. 2023-10-12
9.2
CVSS
CRITICAL
CVE-2026-41264

Podatność w Flowise umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu na serwerze poprzez technikę prompt injection skierowaną do węzła CSV Agent. Błąd jest krytyczny, ponieważ nie wymaga żadnej autoryzacji, a jego wykorzystanie prowadzi do pełnego przejęcia kontroli nad procesem serwera.

pub. 2026-04-23
9.2
CVSS
CRITICAL
CVE-2024-5217

W platformie ServiceNow Now Platform wykryto krytyczną lukę w walidacji danych wejściowych, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność jest aktywnie wykorzystywana w atakach i uzyskała ocenę CVSS 9.2.

pub. 2024-07-10🚩 CISA KEV⚡ EXPLOIT
9.1
CVSS
CRITICAL
CVE-2026-43578

OpenClaw w wersjach 2026.3.31 przed 2026.4.10 zawiera podatność umożliwiającą privilege escalation. Mechanizm wykrywania obniżenia uprawnień właściciela heartbeat nie obsługuje lokalnych zdarzeń zakończenia asynchronicznego wykonania w tle, co pozwala atakującemu na utrzymanie procesu w kontekście wyższych uprawnień niż zamierzono.

pub. 2026-05-06
9.1
CVSS
CRITICAL
CVE-2026-43566

OpenClaw w wersjach 2026.4.7 – 2026.4.13 zawiera podatność typu privilege escalation, polegającą na nieprawidłowym przetwarzaniu zdarzeń przebudzenia webhooka (webhook wake events) niosących niezaufaną treść. Atakujący bez uwierzytelnienia może zachować kontekst wykonania z uprawnieniami właściciela, gdy zgodnie z logiką aplikacji uprawnienia powinny były zostać obniżone.

pub. 2026-05-05
Pokazano 20 z 141 podatności
Informacje
ID: CWE-184
Typ: Base
Podatności: 141
MITRE CWE ↗
← Słownik CWE
CWE-184 — Niekompletna lista niedozwolonych danych wejściowych | Słownik CWE | CVEbaza.pl