CAPEC-243ДетальныйЧерновик
XSS через атрибуты HTML
Злоумышленник встраивает команды для выполнения межсайтового скриптинга (XSS) в атрибуты HTML. Многие фильтры не выполняют надлежащую санацию атрибутов на предмет наличия потенциально опасных команд, даже если они правильно обрабатывают теги. Например, опасные выражения могут быть вставлены в атрибут style тега якоря, что приводит к выполнению вредоносного кода при отображении результирующей страницы. Если жертву удаётся вынудить просмотреть отображённую страницу, атака протекает как обычная XSS-атака и может завершиться кражей конфиденциальных cookie-файлов или иными вредоносными действиями.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2023-37908XWiki Rendering - это универсальная система рендеринга, которая преобразует текстовый ввод в заданном синтаксисе в другой синтаксис. Очистка атрибутов во время рендеринга XHTML, введенная в версии 14.6-rc-1, позволила внедрить произвольный HTML-код и, таким образом, межсайтовый скриптинг через недопустимые имена атрибутов. Это можно использовать, например, через синтаксис ссылок в любом контенте, поддерживающем синтаксис XWiki, например, в комментариях в XWiki. Когда пользователь перемещает мышь над вредоносной ссылкой, вредоносный код JavaScript выполняется в контексте сеанса пользователя. Когда этот пользователь является привилегированным пользователем, имеющим права программирования, это позволяет выполнять код на стороне сервера с правами программирования, что влияет на конфиденциальность, целостность и доступность экземпляра XWiki. Хотя этот атрибут был правильно распознан как недопустимый, атрибут все равно печатался с префиксом `data-xwiki-translated-attribute-` без дальнейшей очистки или проверки. Эта проблема была исправлена в XWiki 14.10.4 и 15.0 RC1 путем удаления символов, не разрешенных в атрибутах данных, и последующей повторной проверки очищенного атрибута. Известных обходных путей нет, кроме обновления до версии, включающей исправление.
CVE-2023-1716Уязвимость межсайтового скриптинга (XSS) на странице редактирования счетов в Bitrix24 22.0.300 позволяет злоумышленникам выполнять произвольный код JavaScript в браузере жертвы и, возможно, выполнять произвольный код PHP на сервере, если жертва имеет права администратора.
CVE-2026-23516CVAT - это интерактивный инструмент для аннотирования видео и изображений с открытым исходным кодом для компьютерного зрения. В версиях 2.2.0 - 2.54.0 злоумышленник может выполнять произвольный JavaScript в сеансе CVAT пользовательского интерфейса жертвы, при условии, что он может создать злонамеренно созданную метку в задаче или проекте CVAT, а затем заставить пользователя-жертву либо отредактировать эту метку, либо просмотреть форму, которая относится к этой ярлыке; и/или заставить пользователя-жертву загрузить злонамеренно созданное изображение SVG. Это дает злоумышленнику временный доступ к всем ресурсам CVAT, к которым может получить доступ пострадавший пользователь. Версия 2.55.0 устраняет проблему.
CVE-2024-26283Злоумышленник мог выполнить несанкционированные скрипты на сайтах верхнего уровня, используя URI JavaScript при открытии внешнего URL-адреса с пользовательской схемой Firefox. Эта уязвимость затрагивает Firefox для iOS < 123.
CVE-2024-36472В GNOME Shell через 45.7 помощник портала может быть запущен автоматически (без подтверждения пользователя) на основе сетевых ответов, предоставленных противником (например, противником, который контролирует локальную сеть Wi-Fi), и затем загружает ненадежный код JavaScript, что может привести к потреблению ресурсов или другим последствиям в зависимости от поведения кода JavaScript.
CVE-2026-22849Saleor - это платформа электронной коммерции. Начиная с версий 3.0.0 и до версий 3.20.108, 3.21.43 и 3.22.27, Saleor позволял пользователям изменять богатые текстовые поля с помощью HTML без запуска каких-либо бэкэнд-очищевых HTML, что позволяло злоумышленникам выполнять сохраненные атаки XSS на панели и витрины магазинов. Вредоносные сотрудники могут создавать инъекции сценариев для других сотрудников, возможно, крадя их доступ и/или обновлять токены. Этот вопрос был исправлен в версиях 3.22.27, 3.21.43 и 3.20.108. В случае невозможности сразу обновиться, возможный обходной путь - использовать клиентский очиститель.
CVE-2025-0125Уязвимость в PAN-OS компании Palo Alto Networks позволяет аутентифицированному администратору с правами чтения и записи выдавать себя за другого легитимного администратора через неправильную нейтрализацию входных данных в веб-интерфейсе управления [1]. Злоумышленнику необходим сетевой доступ к веб-интерфейсу управления. Для снижения риска рекомендуется ограничить доступ к управлению только доверенными внутренними IP-адресами.
Источники:
- [1] https://security.paloaltonetworks.com/CVE-2025-0125
CVE-2024-9103Неправильная нейтрализация скрипта в атрибутах веб-страницы в уязвимости Forcepoint Email Security (модуль Заблокированные сообщения) позволяет осуществить Stored XSS.
Эта проблема затрагивает безопасность электронной почты до версии 8.5.5.
CVE-2023-32070XWiki Platform - это общая вики-платформа. До версии 14.6-rc-1 рендеринг HTML не проверял опасные атрибуты/значения атрибутов. Это позволяло проводить атаки межсайтового скриптинга (XSS) через атрибуты и URL-адреса ссылок, например, поддерживаемые в синтаксисе XWiki. Это было исправлено в XWiki 14.6-rc-1. Известных обходных путей, кроме обновления до исправленной версии, нет.
CVE-2023-30958В Foundry Frontend обнаружен дефект безопасности, который позволял пользователям потенциально проводить DOM XSS-атаки, если CSP Foundry был обойден.
Этот дефект был устранен с выпуском Foundry Frontend 6.225.0.
CVE-2026-8245Бетонная CMS 9.5.0 и ниже уязвима для Reflected XSS в Legacy Pagination через HTML-аттериндустрию. Concrete\Core\Legacy\Pagination создает ссылки на пагинацию, необработанно интерполируя свое поле $URL в href="" (<a href="{$linkURL}" ...>). Любой аутентифицированный админ или репортажник с доступом к `/dashboard/reports/forms/forms/legacy`полезная нагрузка в их сессии. Команда безопасности Concrete CMS дала этой уязвимости оценку CVSS v.4.0 6,0 с вектором CVSS:4.0/AV:N/AC:L/AT:P/P/P/VC:V:V:L/V:N/S:N/S:N/S:N/S:N/S:N/S:N/SA:N. Спасибо Йонатану Друри (Tenzai) за отчетность
CVE-2025-4615Неправильная уязвимость нейтрализации входных данных в веб-интерфейсе управления программного обеспечения Palo Alto Networks PAN-OS® позволяет аутентифицированному администратору обходить системные ограничения и выполнять произвольные команды.
Риск безопасности, связанный с этой проблемой, значительно сводится к минимуму, когда доступ CLI ограничен ограниченной группой администраторов.
Облачные NGFW и Prisma® Access не затронуты этой уязвимостью.
CVE-2023-1715Логическая ошибка при использовании mb_strpos() для проверки потенциальной полезной нагрузки XSS в Bitrix24 22.0.300 позволяет злоумышленникам обходить санитарную обработку XSS, помещая HTML-теги в начало полезной нагрузки.
CVE-2026-45669Nuxt - это фреймворк для веб-дизайна с открытым исходным кодом для Vue.js. От версий 3.4.3 до 3.21.6 и 4.0.0-альфа.1 до 4.4.6, navigateTo() с внешним: true генерирует серверный HTML-код перенаправленный тег, содержащий тег <meta http-equiv="refresh">. Устный адрес назначения дезинфицируется только путем замены " на% 22, оставляя <, > > и " незакодированным. Злоумышленник, который может влиять на URL, переданный для навигацииTo(url, { external: true }), может вырваться из атрибута content="..." и ввести произвольный HTML/JavaScript, который выполняется в период применения приложения. Эта проблема была исправлена в версиях 3.21.6 и 4.4.6.
CVE-2025-0137Уязвимость неправильной нейтрализации ввода в веб-интерфейсе управления программного обеспечения PAN-OS от Palo Alto Networks позволяет злоумышленнику с правами администратора с возможностью чтения и записи выдавать себя за другого легитимного аутентифицированного администратора PAN-OS [1].
Для эксплуатации этой уязвимости требуется наличие сетевого доступа к веб-интерфейсу управления.
Обновлено: Для устранения этой уязвимости необходимо обновиться до соответствующей исправленной версии.
Рекомендуемое решение — ограничение доступа к интерфейсу управления только доверенными внутренними IP-адресами.
Источники:
- [1] https://security.paloaltonetworks.com/CVE-2025-0137