CAPEC-462 · Измерение времени междоменных запросов

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-462ДетальныйЧерновик

Абстракция: Детальный

Статус: Черновик

Источник ↗

Измерение времени междоменных запросов

Злоумышленник инициирует межсайтовые HTTP / GET-запросы и измеряет время отклика сервера. Данные о времени отклика могут раскрывать важную информацию о происходящем на сервере. Политика единого источника браузера не позволяет злоумышленнику напрямую читать ответы сервера (при отсутствии других уязвимостей), однако не препятствует измерению времени отклика на запросы, инициированные злоумышленником из другого домена.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Две отдельные операции в продукте требуют различного времени для выполнения таким образом, что это наблюдаемо субъектом и раскрыв

Веб-приложение не может или не способно надлежащим образом проверить, был ли запрос намеренно отправлен пользователем, от имени ко

Скрытые временные каналы передают информацию, модифицируя некоторый аспект поведения системы во времени, чтобы программа-получат

Связанные уязвимости

CVE-2025-32642Уязвимость Cross-Site Request Forgery (CSRF) в плагине Vite Coupon позволяет выполнить удаленное включение кода. Эта проблема затрагивает Vite Coupon версий до 1.0.7 [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/vite-coupon/vulnerability/wordpress-vite-coupon-plugin-1-0-7-csrf-to-remote-code-execution-rce-vulnerability?_s_id=cve

CVE-2025-23922Уязвимость Cross-Site Request Forgery (CSRF) в Harsh iSpring Embedder позволяет загружать веб-оболочку на веб-сервер. Эта проблема затрагивает iSpring Embedder: от n/a до 1.0.

CVE-2025-12479Системное отсутствие кросс-сайтов запроса подделки (CSRF) Token Implementation.Этот вопрос затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5 .

CVE-2019-3809Обнаружена уязвимость в Moodle версий с 3.1 по 3.1.15 и более ранних неподдерживаемых версиях. Функция mybackpack позволяла устанавливать URL-адрес значков, когда он должен быть ограничен URL-адресом Mozilla Open Badges backpack. Это привело к возможности слепого SSRF через запросы, сделанные страницей.

CVE-2017-5145Проблема обнаружена в Carlo Gavazzi VMU-C EM до версии прошивки A11_U05 и VMU-C PV до версии прошивки A17. Успешная эксплуатация этой уязвимости CROSS-SITE REQUEST FORGERY (CSRF) может позволить выполнить несанкционированные действия на устройстве, такие как изменение параметров конфигурации и сохранение измененной конфигурации.

CVE-2018-1712Developer Portal IBM API Connect версий 5.0.0.0 - 5.0.8.3 уязвим для Server Side Request Forgery. Злоумышленник, использующий специально созданные входные параметры, может обманом заставить сервер выполнять потенциально вредоносные вызовы внутри доверенной сети. IBM X-Force ID: 146370.

CVE-2025-48340Уязвимость Cross-Site Request Forgery (CSRF) в плагине User Profile Meta Manager от Danny Vink позволяет осуществить повышение привилегий. Эта проблема затрагивает версии User Profile Meta Manager от n/a до 1.02 [1]. На данный момент официального исправления нет, и уязвимость имеет низкий уровень опасности. Рекомендуется следить за обновлениями плагина. Источники: - [1] https://patchstack.com/database/wordpress/plugin/user-profile-meta/vulnerability/wordpress-user-profile-meta-manager-plugin-1-02-csrf-to-privilege-escalation-vulnerability?_s_id=cve

CVE-2025-31033Уязвимость Cross-Site Request Forgery (CSRF) в Buddypress Humanity позволяет выполнить межсайтовую подделку запроса. Эта проблема затрагивает Buddypress Humanity: с n/a до версии 1.2. Источники: - [1] https://patchstack.com/database/wordpress/plugin/buddypress-humanity/vulnerability/wordpress-buddypress-humanity-plugin-1-2-csrf-to-privilege-escalation-vulnerability?_s_id=cve

CVE-2025-2907Плагин WordPress Order Delivery Date до версии 12.3.1 не имеет проверок авторизации и CSRF при импорте настроек. Кроме того, в нем отсутствуют надлежащие проверки, чтобы обновлять только параметры, относящиеся к плагину Order Delivery Date WordPress до версии 12.3.1. Это позволяет злоумышленникам изменять default_user_role на administrator и users_can_register, разрешая им регистрироваться в качестве администратора сайта для полного захвата сайта [1]. Источники: - [1] https://wpscan.com/vulnerability/2e513930-ec01-4dc6-8991-645c5267e14c/

CVE-2025-23797Уязвимость межсайтовой подделки запросов (CSRF) в Mike Selander WP Options Editor позволяет повысить привилегии. Эта проблема затрагивает WP Options Editor: от n/a до 1.1.

CVE-2024-56012Уязвимость Cross-Site Request Forgery (CSRF) в Pearlbells Flash News / Post (Responsive), Pearlbells Post Title (TypeWriter) позволяет повысить привилегии. Эта проблема затрагивает Flash News / Post (Responsive): от n/a до 4.1; Post Title (TypeWriter): от n/a до 4.1.

CVE-2024-47634Уязвимость межсайтовой подделки запросов (CSRF) в Streamline.Lv CartBounty – Save and recover abandoned carts for WooCommerce позволяет выполнять межсайтовую подделку запросов. Эта проблема затрагивает CartBounty – Save and recover abandoned carts for WooCommerce: от n/a до 8.2.

CVE-2024-47359Уязвимость, связанная с отсутствием авторизации, в Depicter Slider и Popup by Averta Depicter Slider позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Depicter Slider: от n/a до 3.2.2.

CVE-2024-34502Обнаружена проблема в WikibaseLexeme в MediaWiki до версий 1.39.6, 1.40.x до 1.40.2 и 1.41.x до 1.41.1. Загрузка Special:MergeLexemes (попытается) внести изменение, которое объединяет from-id с to-id, даже если запрос не был POST-запросом, и даже если он не содержит токен редактирования.

CVE-2024-33449Проблема SSRF в сервисе PDFMyURL позволяет удаленному злоумышленнику получить конфиденциальную информацию и выполнить произвольный код через POST-запрос в параметре url.