V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-198ДетальныйЧерновик
Абстракция: Детальный
Статус: Черновик
Источник ↗

XSS, направленный на страницы ошибок

Злоумышленник распространяет ссылку (или иную структуру запроса) с запросом к стороннему веб-серверу, который сформирован некорректно и также содержит блок эксплойт-кода, с тем чтобы эксплойт стал исполняемым кодом в результирующей странице ошибки.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-81
Продукт получает входные данные от вышестоящего компонента, но не нейтрализует или некорректно нейтрализует специальные символы,

Связанные уязвимости

CVE-2022-4361Keycloak, решение с открытым исходным кодом для управления идентификацией и доступом, имеет уязвимость межсайтового скриптинга (XSS) в провайдерах SAML или OIDC. Уязвимость может позволить злоумышленнику выполнять вредоносные скрипты, установив значение AssertionConsumerServiceURL или redirect_uri.
CVE-2022-4137Уязвимость отраженного межсайтового скриптинга (XSS) обнаружена в конечной точке OAuth 'oob' из-за неправильной обработки нулевого байта. Эта проблема позволяет вредоносной ссылке вставить произвольный URI на страницу ошибок Keycloak. Этот недостаток требует, чтобы пользователь или администратор взаимодействовали со ссылкой, чтобы быть уязвимым. Это может скомпрометировать данные пользователя, позволяя изменить или собрать их злоумышленнику.
CVE-2025-24344Уязвимость в веб-приложении ctrlX OS позволяет удаленному неаутентифицированному атакующему внедрять произвольные HTML-теги и потенциально выполнять клиентский код в контексте браузера другого пользователя через созданный HTTP-запрос. Источники: - [1] https://psirt.bosch.com/security-advisories/BOSCH-SA-640452.html
CVE-2026-41568Moby - это контейнерная система с открытым исходным кодом. В Docker Engine до версии 29.5.1, Docker Daemon версии 28.5.2 и предшествующие, а также Moby Daemon до версии 2.0.0-beta.14, гоночного состояния во время настройки docker cp позволяет вредоносному контейнеру создавать пустые файлы или каталоги на произвольных абсолютных путях в файловой системе хоста. Эта проблема была исправлена в Docker Engine версии 29.5.1 и Moby Daemon версии 2.0.0-beta.14.
CVE-2024-6892Злоумышленники могут создать вредоносную ссылку, которая после нажатия выполнит произвольный JavaScript в контексте веб-приложения Journyx.
CVE-2019-25027Отсутствие очистки вывода в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.10 (Vaadin с 10.0.0 по 10.0.13) и с 1.1.0 по 1.4.2 (Vaadin с 11.0.0 по 13.0.5) позволяет злоумышленнику выполнять вредоносный JavaScript через специально созданный URL.
CVE-2025-0883Неправильная нейтрализация скрипта в веб-странице сообщения об ошибке в OpenText™ Service Manager. Уязвимость может раскрыть конфиденциальную информацию, хранящуюся браузером. Эта проблема затрагивает Service Manager: 9.70, 9.71, 9.72, 9.80.