CAPEC-247ДетальныйЧерновик
XSS с использованием недопустимых символов
Злоумышленник вставляет недопустимые символы в идентификаторы, чтобы обойти фильтрацию входных данных в приложении. Фильтры могут прекращать сканирование после обнаружения недопустимых символов, однако на более поздних этапах обработки содержимое, следующее за этими символами, может по-прежнему обрабатываться. Это позволяет злоумышленнику провести запрещённые команды мимо фильтров и выполнить обычно недопустимые операции. К недопустимым символам относятся нулевой символ, возврат каретки, перевод строки или табуляция в идентификаторе. Успешный обход фильтра может привести к XSS-атаке и последующему раскрытию веб-cookie-файлов или иным негативным последствиям.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2023-31126`org.xwiki.commons:xwiki-commons-xml` - это XML-библиотека, используемая платформой вики XWiki с открытым исходным кодом. Санитайзер HTML, представленный в версии 14.6-rc-1, позволяет внедрять произвольный HTML-код и, следовательно, межсайтовый скриптинг через недопустимые атрибуты данных. Эта уязвимость не влияет на ограниченную очистку в HTMLCleaner, поскольку эти атрибуты очищаются, и, таким образом, такие символы, как `/` и `>`, удаляются во всех именах атрибутов. Эта проблема была исправлена в XWiki 14.10.4 и 15.0 RC1, чтобы атрибуты данных содержали только разрешенные символы. Нет известных обходных путей, кроме обновления до версии, включающей исправление.
CVE-2026-28417Vim - это текстовый редактор с открытым исходным кодом, командной строки. До версии 9.2.0073 в стандартном плагине «netrw`» в сочетании с Vim существует уязвимость от инъекций команд ОС. Побуждая пользователя открывать созданный URL-адрес (например, используя обработчик протокола `scp://`scp://``` стороны протокола), злоумышленник может выполнять произвольные команды оболочки с привилегиями процесса Vim. Версия 9.2.0073 исправляет проблему.
CVE-2024-21864Неправильная нейтрализация в некотором программном обеспечении Intel(R) Arc(TM) & Iris(R) Xe Graphics до версии 31.0.101.5081 может позволить не прошедшему проверку подлинности пользователю потенциально получить повышение привилегий через смежный сетевой доступ.
CVE-2021-33158Неправильная нейтрализация в некоторых Ethernet-адаптерах Intel(R) и встроенном ПО управления Ethernet-контроллера Intel(R) I225 может позволить привилегированному пользователю потенциально повысить свои привилегии через локальный доступ.
CVE-2023-22840Неправильная нейтрализация в программном обеспечении для GPU Intel(R) oneVPL до версии 22.6.5 может позволить аутентифицированному пользователю потенциально вызвать отказ в обслуживании через локальный доступ.
CVE-2025-20168Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2025-20167Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2025-20166Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2024-10941Вредоносный веб-сайт мог включить iframe с неправильным URI, что могло привести к неисправимому сбою браузера. Эта уязвимость затрагивает Firefox < 126.
CVE-2025-66606Уязвимость была обнаружена в FAST/TOOLS, предоставленной Yokogawa Electric Corporation.
Этот продукт не является
Правильно кодировать URL-адреса. Злоумышленник может вмешаться в веб-страницы или выполнить
Злоумышленники.
затронутые продукты и версии следующие: FAST/TOOLS (Пакеты: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 to
R10.04