T1539Enterprise
Кража cookie веб-сеанса
Злоумышленник может украсть cookie сеанса веб-приложения или службы и использовать их для получения доступа к веб-приложениям или интернет-службам в качестве аутентифицированного пользователя без необходимости учетных данных. Веб-приложения и службы часто используют cookie сеанса в качестве токена аутентификации после того, как пользователь прошел аутентификацию на веб-сайте. Cookie часто действительны в течение длительного периода времени, даже если веб-приложение не используется активно. Cookie можно найти на диске, в памяти процесса браузера и в сетевом трафике к удаленным системам. Кроме того, другие приложения на целевой машине могут хранить конфиденциальные cookie аутентификации в памяти (например, приложения, которые аутентифицируются в облачных службах). Cookie сеанса можно использовать для обхода некоторых протоколов многофакторной аутентификации. Существует несколько примеров вредоносного ПО, нацеленного на cookie из веб-браузеров в локальной системе. Злоумышленники также могут красть cookie, внедряя вредоносный контент JavaScript на веб-сайты или полагаясь на выполнение пользователем, обманом заставляя жертв запускать вредоносный JavaScript в своем браузере. Также существуют фреймворки с открытым исходным кодом, такие как `Evilginx2` и `Muraena`, которые могут собирать cookie сеанса через вредоносный прокси (например, злоумышленник-посредник), который может быть настроен злоумышленником и использован в фишинговых кампаниях. После того как злоумышленник получит действительный cookie, он может выполнить технику cookie веб-сеанса для входа в соответствующее веб-приложение.
Тактики
Получение учетных данных
Платформы
LinuxmacOSOffice SuiteSaaSWindows
Меры защиты
Связанные CAPEC
Затронутые уязвимости (выводимые)
CVE-2026-6213Уязвимость в Remote SparkSingSer перед сборкой 1122 позволяет злоумышленнику обойти проверку локального соединения и добиться произвольного выполнения кода в качестве корня на стороне сервера. В зависимости от реализации уязвимость может быть использована неаутентифицированным злоумышленником.
CVE-2026-42901Ошибка проверки происхождения в Microsoft Entra ID позволяет неавторизованному злоумышленнику повысить привилегии над сетью.
CVE-2026-42160Data Space Portal - это решение с открытым исходным кодом «Программное обеспечение как услуга» (SaaS), предназначенное для оптимизации управления Dataspace. От версии 2.1.1 до версии 7.3.2 в backends dataspace-portal недостаточно авторизации в отношении самозарегистрированных учетных записей организации/пользователей «В ОЖИДАЮЩИХСЯ». Этот вопрос был исправлен в версии 7.3.2.
CVE-2026-34910Вредоносный субъект с доступом к сети может использовать уязвимость валидации неправильных входных данных, обнаруженную в устройствах UniFi OS, для выполнения командной инъекции.
CVE-2026-23478Cal.com - это программное обеспечение для планирования с открытым исходным кодом. С 3.1.6 до 6.0.7 существует уязвимость в пользовательском звонке NextAuth JWT, которая позволяет злоумышленникам получить полный аутентифицированный доступ к учетной записи любого пользователя, утоливая целевой адрес электронной почты через session.update(). Эта уязвимость зафиксирована в 6.0.7.
CVE-2026-21858Получение конфиденциальной информации в n8n
CVE-2026-0848Версии NLTK <=3.9.2 уязвимы для произвольного выполнения кода из-за неправильной валидации ввода в модуле StanfordSegmenter. Модуль динамически загружает внешние файлы Java .jar без проверки или песочницы. Злоумышленник может поставлять или заменять JAR-файл, что позволяет выполнять произвольный байт-код Java в момент импорта. Эта уязвимость может быть использована с помощью таких методов, как отравление моделей, атаки MITM или отравление зависимостей, что приводит к удаленному исполнению кода. Проблема возникает из-за прямого исполнения файла JAR через подпроцесс с непроверенным вводом по пути по классу, что позволяет вредоносным классам выполнять при загрузке JVM.
CVE-2025-34300В Sawtooth Software’s Lighthouse Studio версий до 9.16.14 существует уязвимость, связанная с внедрением шаблона, через Perl веб-приложение ciwweb.pl. Эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольные команды [1].
Источники:
- [1] https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio
- [2] https://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/
CVE-2025-34105В встроенном веб-интерфейсе DiskBoss Enterprise версий 7.4.28, 7.5.12 и 8.2.14 существует уязвимость переполнения буфера на основе стека. Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный длинный URI, что потенциально может привести к выполнению произвольного кода с привилегиями SYSTEM на уязвимых хостах Windows. Существуют эксплойты для этой уязвимости, доступные на сайтах Exploit-DB [1][2] и в модуле Metasploit [3].
Источники:
- [1] https://www.exploit-db.com/exploits/40869
- [2] https://www.exploit-db.com/exploits/42395
- [3] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/diskboss_get_bof.rb
- [4] https://www.vulncheck.com/advisories/diskboss-enterprise-buffer-overflow-rce
CVE-2025-34063Уязвимость обхода криптографической аутентификации существует в OneLogin AD Connector до 6.1.5 из-за воздействия клавиши подписи SSO JWT арендатора через конечную точку /api/adc/v4/конфигурацию. Злоумышленник, владеющий ключом подписи, может создавать действительные токены JWT, выдающие себя за произвольных пользователей в арендаторе OneLogin. Выполненные токены позволяют аутентифицироваться на портал OneLogin SSO и все приложения, объединенные через SAML или OIDC. Это обеспечивает полный несанкционированный доступ через SaaS-среду жертвы.
CVE-2025-34060Уязвимость против инъекций PHP существует в программном обеспечении форума Monero Project Laravel из-за небезопасной обработки ненадежного ввода в конечной точке /get/image/. Приложение передает параметр ссылки, предоставляемый пользователем, непосредственно на file_get_contents() без проверки. Проверки типа MIME с помощью finfo PHP можно обойму через созданные цепочки фильтров потока, которые предотвращают поддельные заголовки, что позволяет получить доступ к внутренним файлам конфигурации Laravel. Злоумышленник может извлечь APP_KEY из config/app.php, подделать зашифрованные файлы cookie и вызвать небезопасные вызовы unserialize(), что приведет к надежному удаленному выполнению кода.
CVE-2025-34043Уязвимость удаленного командного впрыска существует в устройствах Vacron Network Video Recorder (NVR) v1.4 из-за неправильной дезинфекции ввода в скрипте board.cgi. Уязвимость позволяет неаутентифицированным злоумышленникам передавать произвольные команды базовой операционной системе через созданные HTTP-запросы. Эти команды выполняются с привилегиями процесса веб-сервера, что позволяет удаленное выполнение кода и потенциальный полный компенсация устройства. Доказательства эксплуатации были замечены Фондом Shadowserver на 2025-02-06 UTC.
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы.
Исходная уязвимость эксплуатировалась в дикой природе.
*Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2025-23202Bible Module - это инструмент, предназначенный для разработчиков ROBLOX для интеграции функциональности Библии в их игры. Функции `FetchVerse` и `FetchPassage` в Bible Module подвержены инъекции из-за отсутствия проверки входных данных. Эта уязвимость может позволить злоумышленнику манипулировать URL запросов API, что потенциально приведет к несанкционированному доступу или изменениям данных. Эта проблема была решена в версии 0.0.3. Всем пользователям рекомендуется обновиться. Неизвестны обходные пути для этой уязвимости.
CVE-2025-20393Выполнение произвольного кода в Cisco Secure Email Gateway And Cisco Secure Email and Web Manager
Совпадений нет — уточните фильтр.