T1176Enterprise
Программные расширения
Злоумышленники могут злоупотреблять программными расширениями для установления постоянного доступа к системам жертвы. Программные расширения — это модульные компоненты, которые расширяют или настраивают функциональность программных приложений, включая веб-браузеры, интегрированные среды разработки (IDE) и другие платформы. Расширения обычно устанавливаются через официальные магазины, магазины приложений или загружаются пользователями вручную, и они часто наследуют разрешения и уровни доступа хост-приложения. Вредоносные расширения могут быть внедрены различными методами, включая социальную инженерию, скомпрометированные магазины или прямую установку пользователями или злоумышленниками, которые уже получили доступ к системе. Вредоносные расширения могут иметь похожие или идентичные названия с добросовестными расширениями в магазинах. Механизмы безопасности в магазинах расширений могут быть недостаточными для обнаружения вредоносных компонентов, что позволяет злоумышленникам обойти автоматизированные сканеры или использовать доверие, установленное во время процесса установки. Злоумышленники также могут злоупотреблять добросовестными расширениями для достижения своих целей, например, используя законную функциональность для туннелирования данных или обхода механизмов безопасности. Модульная природа расширений и их интеграция с хост-приложениями делают их привлекательной целью для злоумышленников, стремящихся использовать доверенные программные экосистемы. Обнаружение может быть затруднено из-за присущего доверия к расширениям во время установки и их способности сливаться с обычными рабочими процессами приложений.
Тактики
Закрепление
Платформы
LinuxmacOSWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2025-70974Fastjson before 1.2.48 mishandles autoType because, when an @type key is in a JSON document, and the value of that key is the name of a Java class, there may be calls to certain public methods of that class. Depending on the behavior of those methods, there may be JNDI injection with an attacker-supplied payload located elsewhere in that JSON document. This was exploited in the wild in 2023 through 2025. NOTE: this issue exists because of an incomplete fix for CVE-2017-18349. Also, a later bypass is covered by CVE-2022-25845.
CVE-2020-4561IBM Cognos Analytics 11.0 и 11.1 DQM API позволяет отправлять все запросы управления в неаутентифицированных сеансах. Это позволяет удаленному злоумышленнику, который может получить доступ к допустимой конечной точке CA, читать и записывать файлы в систему Cognos Analytics. IBM X-Force ID: 183903.
CVE-2026-27941OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.
CVE-2026-0770Langflow exec_globals Inclusion of Functionality from Untrusted Control Sphere Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Langflow. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the handling of the exec_globals parameter provided to the validate endpoint. The issue results from the inclusion of a resource from an untrusted control sphere. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-27325.
CVE-2025-70046An issue pertaining to CWE-829: Inclusion of Functionality from Untrusted Control Sphere was discovered in Miazzy oa-front-service master.
CVE-2025-27668Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Приложение 20.0.1923 допускает произвольное включение содержимого через Iframe OVE-20230524-0012.
CVE-2024-38537Fides — это платформа разработки конфиденциальности с открытым исходным кодом. `fides.js`, клиентский скрипт, используемый для взаимодействия с функциями управления согласием Fides, использовал домен `polyfill.io` в очень ограниченном пограничном случае, когда он обнаруживал устаревший браузер, такой как IE11, который не поддерживал стандарт fetch. Поэтому пользователи устаревших браузеров до 2017 года, которые переходят на страницу, обслуживающую `fides.js`, могли загружать и выполнять вредоносные скрипты из домена `polyfill.io`, когда домен был скомпрометирован и обслуживал вредоносное ПО. По состоянию на момент публикации не было выявлено никаких случаев эксплуатации `fides.js` через `polyfill.io`.
Уязвимость была исправлена в версии Fides `2.39.1`. Пользователям рекомендуется обновиться до этой или более поздней версии, чтобы защитить свои системы от этой угрозы. В четверг, 27 июня 2024 г., Cloudflare и Namecheap вмешались на уровне домена, чтобы гарантировать, что `polyfill.io` и его поддомены не смогут разрешиться в скомпрометированную службу, что сделало эту уязвимость неэксплуатируемой. До вмешательства на уровне домена не было обходных путей на стороне сервера, а воздействие этой уязвимости на конфиденциальность, целостность и доступность было высоким. Клиенты могли гарантировать, что они не затронуты, используя современный браузер, поддерживающий стандарт fetch.
CVE-2023-6971Плагин Backup Migration для WordPress уязвим для удаленного включения файлов в версиях с 1.0.8 по 1.3.9 через HTTP-заголовок 'content-dir'. Это позволяет неаутентифицированным злоумышленникам включать удаленные файлы на сервере, что приводит к выполнению кода. ПРИМЕЧАНИЕ: Для успешной эксплуатации этой уязвимости необходимо, чтобы в файле php.ini целевого сервера был установлен параметр 'allow_url_include' в значение 'on'. Эта функция устарела, начиная с PHP 7.4, и отключена по умолчанию, но ее все еще можно явно включить в более поздних версиях PHP.
CVE-2023-49134Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP115(V4) 5.0.4 Build 20220216 точки доступа N300 Wireless Gigabit Access Point.
CVE-2023-49133Уязвимость выполнения команд существует в функциональности tddpd enable_test_mode точек доступа Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 и Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. Специально созданная серия сетевых запросов может привести к произвольному выполнению команд. Злоумышленник может отправить последовательность не прошедших проверку подлинности пакетов, чтобы вызвать эту уязвимость. Эта уязвимость затрагивает `uclited` на EAP225(V3) 5.1.0 Build 20220926 точки доступа AC1350 Wireless MU-MIMO Gigabit Access Point.
CVE-2023-4591В WPN-XM Serverstack обнаружена уязвимость локального включения файлов, затрагивающая версию 0.8.6, которая позволит не прошедшему проверку подлинности пользователю выполнить локальное включение файлов (LFI) через параметр /tools/webinterface/index.php?page, отправив GET-запрос. Эта уязвимость может привести к загрузке PHP-файла на сервере, что приведет к критической эксплуатации веб-оболочки.
CVE-2023-45798В Yettiesoft VestCert версий с 2.36 по 2.5.29 существует уязвимость из-за неправильной проверки сторонних модулей. Это позволяет злоумышленникам загружать произвольные сторонние модули, что приводит к удаленному выполнению кода.
CVE-2023-4488Dropbox Folder Share для WordPress уязвим для Local File Inclusion в версиях до 1.9.7 включительно через файл editor-view.php. Это позволяет не прошедшим проверку подлинности злоумышленникам включать и выполнять произвольные файлы на сервере, позволяя выполнять любой PHP-код в этих файлах. Это можно использовать для обхода средств контроля доступа, получения конфиденциальных данных или достижения выполнения кода в случаях, когда изображения и другие “безопасные” типы файлов можно загружать и включать.
CVE-2022-31736Вредоносный веб-сайт мог узнать размер ресурса из другого источника, который поддерживал запросы Range. Эта уязвимость затрагивает Thunderbird < 91.10, Firefox < 101 и Firefox ESR < 91.10.
CVE-2022-24119Некоторые продукты General Electric Renewable Energy имеют скрытую функцию для неаутентифицированного удаленного доступа к оболочке конфигурации устройства. Это относится к iNET и iNET II до версии 8.3.0.
Совпадений нет — уточните фильтр.