CAPEC-386 · Перенаправление навигации в API приложения

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-386СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Перенаправление навигации в API приложения

Злоумышленник манипулирует входящими или исходящими данными клиента в рамках приложения с целью изменения назначения и/или содержимого ссылок/кнопок, отображаемых пользователю в API-сообщениях. Проведение данной атаки позволяет злоумышленнику манипулировать содержимым таким образом, чтобы создавать сообщения или контент, выглядящие аутентично, но содержащие ссылки/кнопки, указывающие на подконтрольный злоумышленнику адрес назначения. Некоторые приложения затрудняют обнаружение перенаправления навигации, поскольку фактические значения HREF изображений, элементов профилей и ссылок/кнопок маскируются. Одним из примеров может служить размещение изображения в фотогалерее пользователя, при нажатии на которое происходит перенаправление на сторонний сайт. Кроме того, традиционные веб-уязвимости (такие как CSRF) могут быть реализованы с использованием перенаправленных кнопок или ссылок. В ряде случаев перенаправление навигации может использоваться для фишинговых атак или как средство искусственного увеличения числа просмотров страниц, репутации пользователя на сайте или мошенничества с кликами.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт не шифрует конфиденциальные или критически важные данные перед их сохранением или передачей.

Продукт недостаточно проверяет источник или подлинность данных, вследствие чего принимает недопустимые данные.

Продукт не проверяет должным образом, что источник данных или канала связи является допустимым.

Продукт не обеспечивает надлежащей защиты предположительно неизменяемого элемента от модификации злоумышленником.

Продукт состоит из сервера, который полагается на клиент в реализации механизма, предназначенного для защиты сервера.

Связанные уязвимости

CVE-2026-23478Cal.com is open-source scheduling software. From 3.1.6 to before 6.0.7, there is a vulnerability in a custom NextAuth JWT callback that allows attackers to gain full authenticated access to any user's account by supplying a target email address via session.update(). This vulnerability is fixed in 6.0.7.

CVE-2023-30856eDEX-UI is a science fiction terminal emulator. Versions 2.2.8 and prior are vulnerable to cross-site websocket hijacking. When running eDEX-UI and browsing the web, a malicious website can connect to eDEX's internal terminal control websocket, and send arbitrary commands to the shell. The project has been archived since 2021, and as of time of publication there are no plans to patch this issue and release a new version. Some workarounds are available, including shutting down eDEX-UI when browsing the web and ensuring the eDEX terminal runs with lowest possible privileges.

CVE-2022-3703Все версии веб-портала ETIC Telecom Remote Access Server (RAS) 4.5.0 и более ранних версий уязвимы для принятия вредоносных пакетов прошивки, которые могут предоставить злоумышленнику бэкдор и повысить привилегии на устройстве.

CVE-2025-66255Unauthenticated Arbitrary File Upload (upgrade_contents.php) in DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter versions 30, 50, 100, 300, 500, 1000, 2000, 3000, 3500, 6000, 7000 allows an attacker to perform Missing signature validation allows uploading malicious firmware packages. The firmware upgrade endpoint in `upgrade_contents.php` accepts arbitrary file uploads without validating file headers, cryptographic signatures, or enforcing .tgz format requirements, allowing malicious firmware injection. This endpoint also subsequently provides ways for arbitrary file uploads and subsequent remote code execution

CVE-2022-36130HashiCorp Boundary до версии 0.10.1 неправильно выполнял проверки целостности данных, чтобы убедиться, что ресурсы связаны с правильными областями, что позволяло авторизованным пользователям другой области потенциально повысить свои привилегии. Исправлено в Boundary 0.10.2.

CVE-2026-2790Получение конфиденциальной информации в Mozilla Firefox и Thunderbird ESR

CVE-2025-8038Thunderbird игнорировал пути при проверке достоверности навигации во фрейме. Эта уязвимость затрагивает Firefox < 141, Firefox ESR < 140.1, Thunderbird < 141 и Thunderbird < 140.1. Уязвимость позволяет обойти ограничения безопасности и потенциально выполнить произвольный код [1]. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1808979 - [2] https://www.mozilla.org/security/advisories/mfsa2025-56/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-59/ - [4] https://www.mozilla.org/security/advisories/mfsa2025-61/ - [5] https://www.mozilla.org/security/advisories/mfsa2025-63/

CVE-2025-51682mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

CVE-2025-49199Резервные ZIP-файлы не подписаны приложением, что позволяет злоумышленнику скачать резервный ZIP-файл, изменить его и загрузить обратно. Это дает возможность нарушить работу приложения путем настройки служб таким образом, что они не смогут работать, делая приложение непригодным для использования. Злоумышленник может перенаправлять трафик, предназначенный для внутреннего использования, на свои собственные сервисы и собирать информацию [1]. Источники: - [1] https://sick.com/psirt - [2] https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF - [3] https://www.cisa.gov/resources-tools/resources/ics-recommended-practices - [4] https://www.first.org/cvss/calculator/3.1 - [5] https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf

CVE-2025-30466Эта проблема была устранена за счет улучшенного управления состоянием. Эта проблема исправлена в Safari 18.4, iOS 18.4 и iPadOS 18.4, visionOS 2.4, macOS Sequoia 15.4. Веб-сайт может обойти политику Same Origin Policy. Источники: - [1] https://support.apple.com/en-us/122371 - [2] https://support.apple.com/en-us/122373 - [3] https://support.apple.com/en-us/122378 - [4] https://support.apple.com/en-us/122379

CVE-2025-28168Уязвимость в компоненте Multiple File Upload для OutSystems, затрагивающая версии до 3.1.0. Проблема заключается в неправильной обработке параметра supportedExtensions. Злоумышленник может перехватить запрос на загрузку файла и изменить параметр supportedExtensions, чтобы разрешить произвольные типы файлов. Поскольку проверка типа файла выполняется исключительно на стороне клиента, это позволяет злоумышленнику обойти ограничения и загрузить неавторизованные или вредоносные файлы на сервер. Кроме того, проверка размера файла также выполняется только на стороне клиента, что позволяет злоумышленнику обойти ограничения и загрузить чрезмерно большие файлы, что может привести к DoS-атакам или истощению ресурсов сервера. Для эксплуатации можно использовать прокси-инструменты, такие как Burp Suite, для изменения запросов [2]. Источники: - [1] https://www.outsystems.com/forge/component-overview/200/multiple-file-upload-o11 - [2] https://gist.github.com/IamLeandrooooo/01090be3023f5e7c7397bb9b1f5505b9

CVE-2025-27681Vasion Print (ранее PrinterLogic) до применения Virtual Appliance Host 1.0.735, приложение 20.0.1330 неправильно обрабатывает безопасность межпроцессного взаимодействия клиента V-2022-004.

CVE-2025-15385Insufficient Verification of Data Authenticity vulnerability in TECNO Mobile com.Afmobi.Boomplayer allows Authentication Bypass.This issue affects com.Afmobi.Boomplayer: 7.4.63.

CVE-2025-10640An unauthenticated attacker with access to TCP port 12306 of the WorkExaminer server can exploit missing server-side authentication checks to bypass the login prompt in the WorkExaminer Professional console to gain administrative access to the WorkExaminer server and therefore all sensitive monitoring data. This includes monitored screenshots and keystrokes of all users. The WorkExaminer Professional console is used for administrative access to the server. Before access to the console is granted administrators must login. Internally, a custom protocol is used to call a respective stored procedure on the MSSQL database. The return value of the call is not validated on the server-side. Instead it is only validated client-side which allows to bypass authentication.

CVE-2024-8487Уязвимость CORS (междоменных распределений ресурсов) существует в modelscope/agentscope версии v0.0.4. Конфигурация CORS на сервере agentscope неправильно ограничивает доступ только для доверенных источников, позволяя любому внешнему домену отправлять запросы к API. Это может привести к несанкционированному доступу к данным, раскрытию информации и дальнейшей эксплуатации, что может поставить под угрозу целостность и конфиденциальность системы.