CWE-95
Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
Produkt otrzymuje dane wejściowe z komponentu upstream, ale nie neutralizuje lub nieprawidłowo neutralizuje składnię kodu przed użyciem danych wejściowych w dynamicznym wywołaniu ewaluacji (np. "eval"). To może pozwolić atakującemu na wykonanie arbitralnego kodu.
The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes code syntax before using the input in a dynamic evaluation call (e.g. "eval").
OpenC3 COSMOS w wersjach od 5.0.0 do 6.10.1 zawiera krytyczną podatność RCE dostępną przez API JSON-RPC. Nieuwierzytelniony atakujący może wykonać dowolny kod Ruby na serwerze, zanim system zdąży sprawdzić uprawnienia.
Podatność w systemie Xspeeder SXZOS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu z uprawnieniami root poprzez przesłanie zakodowanego w base64 kodu Python do skryptu vLogin.py. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie groźną dla wszystkich narażonych hostów.
Podatność w rozszerzeniu XWiki Pro Macros (wersje 1.0 – przed 1.26.5) umożliwia zdalne wykonanie kodu (RCE) poprzez brak escapowania parametru width w makro column. Zagrożenie jest krytyczne — atakujący nie musi posiadać żadnych uprawnień ponad możliwość edycji strony wiki lub dostęp do konwertera CKEditor.
Podatność w komponencie XWiki Pro Macros (Remote Macros) umożliwia zdalne wykonanie kodu (RCE) każdemu użytkownikowi posiadającemu uprawnienia do edycji dowolnej strony. Krytyczny poziom CVSS 10.0 oznacza pełne ryzyko przejęcia instancji XWiki bez jakiejkolwiek uwierzytelniającej bariery wejściowej.
PHP-Charts v1.0 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) w pliku wizard/url.php, gdzie nazwy parametrów GET dostarczane przez użytkownika są przekazywane bezpośrednio do funkcji eval() bez jakiejkolwiek sanityzacji. Atakujący bez uwierzytelnienia może przejąć pełną kontrolę nad systemem hostującym aplikację.
Funkcja wyszukiwania bazodanowego w XWiki Platform umożliwia wykonanie dowolnego kodu zdalnie (RCE) poprzez spreparowany tekst wyszukiwania. Podatność ma maksymalną ocenę CVSS 10.0 i zagraża poufności, integralności oraz dostępności całej instalacji XWiki.
Podatność w mechanizmie escapowania HTML narzędzia XWiki Platform umożliwia wstrzyknięcie składni XWiki (XWiki syntax injection) i wykonanie dowolnego kodu na serwerze (RCE). Podatność otrzymała maksymalny wynik CVSS 10.0 i nie wymaga uwierzytelnienia ani interakcji użytkownika.
XWiki Platform jest podatna na zdalne wykonanie kodu (RCE) poprzez funkcję rejestracji użytkownika. Atakujący może wykonać dowolny kod bez uwierzytelnienia, co przy maksymalnym wyniku CVSS 10.0 czyni tę podatność ekstremalnie niebezpieczną.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. XWiki doesn't properly escape the section URL parameter that is used in the code for displaying administration sections. This allows any user with read access to the document `XWiki.AdminSheet` (by default, everyone including unauthenticated users) to execute code including Groovy code. This impacts the confidentiality, integrity and availability of the whole XWiki instance. This vulnerability has been patched in XWiki 14.10.14, 15.6 RC1 and 15.5.1. Users are advised to upgrade. Users unablr to upgrade may apply the fix in commit `fec8e0e53f9` manually. Alternatively, to protect against attacks from unauthenticated users, view right for guests can be removed from this document (it is only needed for space and wiki admins).
XWiki Platform is a generic wiki platform. Starting in versions 6.3-rc-1 and 6.2.4, it's possible to inject arbitrary wiki syntax including Groovy, Python and Velocity script macros via the `newThemeName` request parameter (URL parameter), in combination with additional parameters. This has been patched in the supported versions 13.10.10, 14.9-rc-1, and 14.4.6. As a workaround, it is possible to edit `FlamingoThemesCode.WebHomeSheet` and manually perform the changes from the patch fixing the issue.
This library allows strings to be parsed as functions and stored as a specialized component, [`JsonFunctionValue`](https://github.com/oxyno-zeta/react-editable-json-tree/blob/09a0ca97835b0834ad054563e2fddc6f22bc5d8c/src/components/JsonFunctionValue.js). To do this, Javascript's [`eval`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval) function is used to execute strings that begin with "function" as Javascript. This unfortunately could allow arbitrary code to be executed if it exists as a value within the JSON structure being displayed. Given that this component may often be used to display data from arbitrary, untrusted sources, this is extremely dangerous. One important note is that users who have defined a custom [`onSubmitValueParser`](https://github.com/oxyno-zeta/react-editable-json-tree/tree/09a0ca97835b0834ad054563e2fddc6f22bc5d8c#onsubmitvalueparser) callback prop on the [`JsonTree`](https://github.com/oxyno-zeta/react-editable-json-tree/blob/09a0ca97835b0834ad054563e2fddc6f22bc5d8c/src/JsonTree.js) component should be ***unaffected***. This vulnerability exists in the default `onSubmitValueParser` prop which calls [`parse`](https://github.com/oxyno-zeta/react-editable-json-tree/blob/master/src/utils/parse.js#L30). Prop is added to `JsonTree` called `allowFunctionEvaluation`. This prop will be set to `true` in v2.2.2, which allows upgrade without losing backwards-compatibility. In v2.2.2, we switched from using `eval` to using [`Function`](https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/Function) to construct anonymous functions. This is better than `eval` for the following reasons: - Arbitrary code should not be able to execute immediately, since the `Function` constructor explicitly *only creates* anonymous functions - Functions are created without local closures, so they only have access to the global scope If you use: - **Version `<2.2.2`**, you must upgrade as soon as possible. - **Version `^2.2.2`**, you must explicitly set `JsonTree`'s `allowFunctionEvaluation` prop to `false` to fully mitigate this vulnerability. - **Version `>=3.0.0`**, `allowFunctionEvaluation` is already set to `false` by default, so no further steps are necessary.
Podatność w platformie Budibase pozwala każdemu uwierzytelnionemu użytkownikowi (w tym z darmowego konta) na wykonanie dowolnego kodu JavaScript po stronie serwera poprzez niebezpieczne wywołanie eval(). Dotyczy wyłącznie wdrożeń Budibase Cloud (SaaS) — instancje self-hosted nie są podatne.
n8n zawiera krytyczną podatność typu Remote Code Execution (RCE) w systemie ewaluacji wyrażeń stosowanym podczas konfiguracji workflow. Uwierzytelniony atakujący może wykonać dowolny kod z uprawnieniami procesu n8n, co prowadzi do pełnego przejęcia kontroli nad instancją.
Projekty organizacji WilderForge zawierają krytyczną podatność polegającą na niebezpiecznym użyciu zmiennych kontrolowanych przez użytkownika (np. `${{ github.event.review.body }}`) bezpośrednio w kontekstach skryptów powłoki w przepływach GitHub Actions. Atakujący może wstrzyknąć dowolny kod powłoki poprzez spreparowaną recenzję pull requesta, co prowadzi do przejęcia kontroli nad infrastrukturą CI/CD.
Każdy użytkownik posiadający prawo edycji dowolnej strony w XWiki Platform może wykonać dowolny zdalny kod (RCE) poprzez dodanie instancji klas `XWiki.SearchSuggestConfig` i `XWiki.SearchSuggestSourceClass` do swojego profilu lub innej strony. Podatność zagraża poufności, integralności i dostępności całej instalacji XWiki.
Podatność w XWiki Platform umożliwia każdemu użytkownikowi z prawem edycji dowolnej strony wykonanie arbitralnego kodu na serwerze. Zagrożenie jest krytyczne, gdyż kompromituje poufność, integralność i dostępność całej instalacji XWiki.
Podatność w XWiki Platform umożliwia wykonanie zdalnego kodu (RCE) poprzez utworzenie dokumentu ze spreparowanym tytułem, który jest przetwarzany przez wbudowaną wyszukiwarkę opartą na Solr. Zagrożenie jest krytyczne, ponieważ z podatności może skorzystać każdy zalogowany użytkownik mający domyślnie prawo edycji tytułu przestrzeni (space).
XWiki Platform zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez interfejs administracyjny wyszukiwania, który nie escapuje poprawnie identyfikatorów i etykiet rozszerzeń UI. Zagrożenie jest krytyczne, ponieważ może być wykorzystane przez dowolnego zalogowanego użytkownika i kompromituje całą instancję XWiki.
Podatność w XWiki Platform (od wersji 2.3) pozwala dowolnemu użytkownikowi posiadającemu możliwość edycji strony wiki na uzyskanie uprawnień programistycznych (programming right) całej instalacji. Zagrożenie jest krytyczne, ponieważ domyślnie każdy użytkownik może edytować swój profil, co czyni tę podatność możliwą do wykorzystania przez wszystkich użytkowników instancji XWiki.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 5.1-rc-1 and prior to versions 14.10.8 and 15.3-rc-1, any user who can edit their own user profile can execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. This has been patched in XWiki 14.10.8 and 15.3-rc-1 by adding proper escaping. As a workaround, the patch can be manually applied to the document `Menu.UIExtensionSheet`; only three lines need to be changed.