CVEbaza.plSłownik CWECWE-150
Common Weakness Enumeration

CWE-150

Improper Neutralization of Escape, Meta, or Control Sequences

Kategoria: VariantCVE: 65
Opis

Produkt otrzymuje dane wejściowe ze składnika nadrzędnego, ale nie neutralizuje lub nieprawidłowo neutralizuje specjalne elementy, które mogą być interpretowane jako sekwencje znaków ucieczki, meta lub sterowania podczas wysyłania do składnika podrzędnego. Może to prowadzić do wykonania niezamierzonego kodu lub manipulacji zachowaniem systemu.

Description (EN)

The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could be interpreted as escape, meta, or control character sequences when they are sent to a downstream component.

Podatności CVE z CWE-150 (65)
10.0
CVSS
CRITICAL
CVE-2022-30123

A sequence injection vulnerability exists in Rack <2.0.9.1, <2.1.4.1 and <2.2.3.1 which could allow is a possible shell escape in the Lint and CommonLogger components of Rack.

pub. 2022-12-05
10.0
CVSS
CRITICAL
CVE-2020-6932

An information disclosure and remote code execution vulnerability in the slinger web server of the BlackBerry QNX Software Development Platform versions 6.4.0 to 6.6.0 could allow an attacker to potentially read arbitrary files and run arbitrary executables in the context of the web server.

pub. 2020-08-12
9.9
CVSS
CRITICAL
CVE-2025-47284

Podatność w komponencie `gardenlet` projektu Gardener umożliwia użytkownikowi z uprawnieniami administracyjnymi projektu Gardener przejęcie kontroli nad seed cluster(s), w których zarządzane są jego shoot clusters. Luka posiada ocenę CVSS 9.9 (CRITICAL) i dotyczy instalacji korzystających z rozszerzenia gardener/gardener-extension-provider-gcp.

pub. 2025-05-19
9.9
CVSS
CRITICAL
CVE-2023-26055

XWiki Commons are technical libraries common to several other top level XWiki projects. Starting in version 3.1-milestone-1, any user can edit their own profile and inject code, which is going to be executed with programming right. The same vulnerability can also be exploited in all other places where short text properties are displayed, e.g., in apps created using Apps Within Minutes that use a short text field. The problem has been patched on versions 13.10.9, 14.4.4, 14.7RC1.

pub. 2023-03-02
9.8
CVSS
CRITICAL
CVE-2026-11362

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie waliduje poprawnie danych wejściowych w tagach zdarzeń, co umożliwia wstrzyknięcie złośliwych metryk. Podatność jest krytyczna, ponieważ atakujący może manipulować danymi telemetrycznymi bez uwierzytelnienia, zdalnie przez sieć.

pub. 2026-06-05
9.8
CVSS
CRITICAL
CVE-2025-25286

Podatność w mikrousłudze Homarus wchodzącej w skład pakietu Crayfish (Islandora 8) umożliwia zdalne wykonanie kodu (RCE) w instalacjach dostępnych z sieci Web. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia — atakujący nie potrzebuje uwierzytelnienia ani interakcji użytkownika.

pub. 2025-02-13
9.8
CVSS
CRITICAL
CVE-2023-3265

An authentication bypass exists on CyberPower PowerPanel Enterprise by failing to sanitize meta-characters from the username, allowing an attacker to login into the application with the default user "cyberpower" by appending a non-printable character.An unauthenticated attacker can leverage this vulnerability to log in to the CypberPower PowerPanel Enterprise as an administrator with hardcoded default credentials.

pub. 2023-08-14
9.8
CVSS
CRITICAL
CVE-2017-0899

RubyGems version 2.6.12 and earlier is vulnerable to maliciously crafted gem specifications that include terminal escape characters. Printing the gem specification would execute terminal escape sequences.

pub. 2017-08-31
9.6
CVSS
CRITICAL
CVE-2025-55754

Apache Tomcat nie neutralizował sekwencji sterujących ANSI w komunikatach logów, co umożliwia atakującemu manipulację konsolą Windows i schowkiem systemowym. Podatność może prowadzić do nakłonienia administratora do uruchomienia polecenia kontrolowanego przez atakującego.

pub. 2025-10-27
9.6
CVSS
CRITICAL
CVE-2024-32986

Narzędzie PWAsForFirefox nieprawidłowo sanityzuje właściwości aplikacji PWA (takie jak nazwa, opis, skróty), co pozwala złośliwej aplikacji webowej na wstrzyknięcie dowolnych wpisów do plików konfiguracyjnych systemu. W wyniku tego atakujący może wykonać dowolny kod na urządzeniu użytkownika.

pub. 2024-05-03
9.1
CVSS
CRITICAL
CVE-2026-11373

Biblioteka Net::Statsite::Client dla języka Perl w wersjach do 1.1.0 nie usuwa znaków nowej linii ani innych znaków sterujących protokołu z nazw metryk i ich wartości, co umożliwia metric injection. Atakujący może manipulować danymi przesyłanymi do serwera statsite, potencjalnie fałszując metryki lub wstrzykując nieautoryzowane dane.

pub. 2026-06-22
9.1
CVSS
CRITICAL
CVE-2026-50638

Metrics::Any::Adapter::DogStatsd versions before 0.04 for Perl does not protect against metric injections. The statsd protocol (and extensions such as dogstatsd) allow mutiple metrics, separated by newlines, to be sent per packet. Metrics::Any::Adapter::DogStatsd which extends Metrics::Any::Adapter::Statsd, which has a similar vulnerability. In addition, the _tags function does not check tags for newlines or statsd control characters. The tags can be used for metric injections.

pub. 2026-06-10
9.1
CVSS
CRITICAL
CVE-2026-9270

Biblioteka DataDog::DogStatsd w wersjach do 0.07 dla języka Perl nie sanityzuje poprawnie danych wejściowych, umożliwiając atakującemu wstrzyknięcie fałszywych metryk (metric injection). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może zostać wykorzystana zdalnie.

pub. 2026-06-05
9.0
CVSS
CRITICAL
CVE-2026-26149

W Microsoft Power Apps wykryto podatność polegającą na nieprawidłowej neutralizacji sekwencji escape, meta lub sterujących (CWE-150), sklasyfikowaną jako KRYTYCZNA z wynikiem CVSS 9.0. Autoryzowany atakujący może przeprowadzić atak spoofing przez sieć, potencjalnie manipulując danymi prezentowanymi użytkownikom lub systemom.

pub. 2026-04-14
8.8
CVSS
HIGH
CVE-2025-0975

IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS, and 9.4 CD console could allow an authenticated user to execute code due to improper neutralization of escape characters.

pub. 2025-02-28
8.8
CVSS
HIGH
CVE-2024-27936

Deno is a JavaScript, TypeScript, and WebAssembly runtime with secure defaults. Starting in version 1.32.1 and prior to version 1.41.0 of the deno library, maliciously crafted permission request can show the spoofed permission prompt by inserting a broken ANSI escape sequence into the request contents. Deno is stripping any ANSI escape sequences from the permission prompt, but permissions given to the program are based on the contents that contain the ANSI escape sequences. Any Deno program can spoof the content of the interactive permission prompt by inserting a broken ANSI code, which allows a malicious Deno program to display the wrong file path or program name to the user. Version 1.41.0 of the deno library contains a patch for the issue.

pub. 2024-03-21
8.8
CVSS
HIGH
CVE-2023-28446

Deno is a simple, modern and secure runtime for JavaScript and TypeScript that uses V8 and is built in Rust. Arbitrary program names without any ANSI filtering allows any malicious program to clear the first 2 lines of a `op_spawn_child` or `op_kill` prompt and replace it with any desired text. This works with any command on the respective platform, giving the program the full ability to choose what program they wanted to run. This problem can not be exploited on systems that do not attach an interactive prompt (for example headless servers). This issue has been patched in version 1.31.2.

pub. 2023-03-24
8.8
CVSS
HIGH
CVE-2021-25310

The administration web interface on Belkin Linksys WRT160NL 1.0.04.002_US_20130619 devices allows remote authenticated attackers to execute system commands with root privileges via shell metacharacters in the ui_language POST parameter to the apply.cgi form endpoint. This occurs in do_upgrade_post in mini_httpd. NOTE: This vulnerability only affects products that are no longer supported by the maintaine

pub. 2021-02-02
8.4
CVSS
HIGH
CVE-2026-45038

Tabby (formerly Terminus) is a highly configurable terminal emulator. Prior to 1.0.233, since Tabby does not escape control characters from file paths when dragging and dropping a file into it, code execution can be achieved. This vulnerability is fixed in 1.0.233.

pub. 2026-05-15
8.2
CVSS
HIGH
CVE-2026-50637

Metrics::Any::Adapter::Statsd versions before 0.04 for Perl does not protect against metric injections. The statsd protocol (and extensions) allow mutiple metrics, separated by newlines, to be sent per packet. The send method does not validate the contents of the metric names or values. If the names have newlines and statsd control characters (colon, pipe) then metric injections are possible. Version 0.04 fixed this by modifying the _make method to block metric names with characters below ASCII 32 (which includes the newline), or colons or pipes.

pub. 2026-06-10
Pokazano 20 z 65 podatności
Informacje
ID: CWE-150
Typ: Variant
Podatności: 65
MITRE CWE ↗
← Słownik CWE