CAPEC-103СтандартЧерновик
Кликджекинг
Злоумышленник вынуждает жертву неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой — как правило, подконтрольной злоумышленнику или специально созданной им — системы.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2021-43048Компоненты Interior Server и Gateway Server TIBCO Software Inc.'s TIBCO PartnerExpress содержат уязвимость, которая теоретически позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом выполнять атаку clickjacking на уязвимую систему. Для успешной атаки с использованием этой уязвимости не требуется взаимодействие с человеком, отличным от злоумышленника. Уязвимыми являются TIBCO PartnerExpress от TIBCO Software Inc.: версии 6.2.1 и ниже.
CVE-2021-23274Компонент Config UI от TIBCO Software Inc.'s TIBCO API Exchange Gateway и TIBCO API Exchange Gateway Distribution для TIBCO Silver Fabric содержит уязвимость, которая теоретически позволяет неаутентифицированному злоумышленнику с сетевым доступом выполнить атаку с использованием clickjacking на затронутой системе. Успешная атака с использованием этой уязвимости не требует взаимодействия с человеком, отличным от злоумышленника. Затронутые выпуски: TIBCO API Exchange Gateway от TIBCO Software Inc.: версии 2.3.3 и ниже и TIBCO API Exchange Gateway Distribution для TIBCO Silver Fabric: версии 2.3.3 и ниже.
CVE-2016-2496Реализация диалогового окна разрешений Framework UI в Android 6.x до 2016-06-01 позволяет злоумышленникам проводить атаки с использованием tapjacking и получать доступ к произвольным файлам личного хранилища, создав частично перекрывающееся окно, также известное как внутренняя ошибка 26677796.
CVE-2023-41897Home Assistant — это система автоматизации дома с открытым исходным кодом. Сервер Home Assistant не устанавливает заголовки безопасности HTTP, включая заголовок X-Frame-Options, который указывает, разрешено ли веб-странице отображаться во фрейме. Отсутствие этого и связанных заголовков способствует скрытым атакам с подменой кликов и альтернативным возможностям эксплуатации, таким как вектор, описанный в этом совете по безопасности. Этот недостаток сопряжен с большим риском, учитывая возможность обманом заставить пользователей установить внешнее и вредоносное дополнение с минимальным взаимодействием с пользователем, что позволит удаленно выполнить код (RCE) в приложении Home Assistant. Эта проблема была решена в версии 2023.9.0, и всем пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
CVE-2021-4140Можно было создать определенную XSLT-разметку, которая могла бы обойти песочницу iframe. Эта уязвимость затрагивает Firefox ESR < 91.5, Firefox < 96 и Thunderbird < 91.5.
CVE-2021-21132Некорректная реализация в DevTools в Google Chrome до версии 88.0.4324.96 позволяла удаленному злоумышленнику потенциально выполнить выход из песочницы через специально созданное расширение Chrome.
CVE-2021-21111Недостаточное обеспечение политики в WebUI в Google Chrome до версии 87.0.4280.141 позволяло злоумышленнику, который убедил пользователя установить вредоносное расширение, потенциально выполнить выход из песочницы через специально созданное расширение Chrome.
CVE-2025-11717Получение конфиденциальной информации в Mozilla Firefox
CVE-2024-10004Открытие внешней ссылки на веб-сайт HTTP, когда Firefox iOS был ранее закрыт и имел открытую вкладку HTTPS, в некоторых случаях могло привести к тому, что значок замка неправильно показывал индикатор HTTPS. Эта уязвимость затрагивает Firefox для iOS < 131.2.
CVE-2024-0750Ошибка в расчете задержки уведомлений всплывающих окон могла позволить злоумышленнику обманом заставить пользователя предоставить разрешения. Эта уязвимость затрагивает Firefox < 122, Firefox ESR < 115.7 и Thunderbird < 115.7.
CVE-2023-6208При использовании X11 текст, выбранный страницей с использованием API выбора, ошибочно копировался в основное выделение — временное хранилище, не отличающееся от буфера обмена.
*Этот баг касается только Firefox на X11. Другие системы не затронуты.* Эта уязвимость затрагивает Firefox < 120, Firefox ESR < 115.5.0 и Thunderbird < 115.5.
CVE-2022-38473Межсайтовый iframe, ссылающийся на документ XSLT, унаследовал бы разрешения родительского домена (например, доступ к микрофону или камере). Эта уязвимость затрагивает Thunderbird < 102.2, Thunderbird < 91.13, Firefox ESR < 91.13, Firefox ESR < 102.2 и Firefox < 104.
CVE-2022-3167Неправильное ограничение отображаемых слоев или кадров пользовательского интерфейса в репозитории GitHub ikus060/rdiffweb до версии 2.4.1.
CVE-2022-22756Если пользователя убедили перетащить изображение на рабочий стол или в другую папку, полученный объект можно было преобразовать в исполняемый скрипт, который выполнял бы произвольный код после того, как пользователь щелкнул по нему. Эта уязвимость затрагивает Firefox < 97, Thunderbird < 91.6 и Firefox ESR < 91.6.
CVE-2021-3734yourls уязвим для неправильного ограничения отображаемых слоев или фреймов пользовательского интерфейса.