V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-467ДетальныйЧерновик
Абстракция: Детальный
Статус: Черновик
Источник ↗

Межсайтовая идентификация

Злоумышленник собирает идентификационные данные о жертве через активную сессию, которую браузер жертвы поддерживает с социальной сетью. Жертва может держать социальную сеть открытой в одной из вкладок или использовать функцию «запомнить меня» для поддержания активной сессии. Злоумышленник внедряет полезную нагрузку, выполняющуюся в браузере жертвы и незаметно для неё инициирующую запрос к социальной сети (например, через доступные API социальной сети) с целью получения идентификационных данных жертвы. Хотя часть этих данных может быть публичной, злоумышленник получает её в контексте и может использовать для дальнейших атак на пользователя (например, целевого фишинга).

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-352
Веб-приложение не может или не способно надлежащим образом проверить, был ли запрос намеренно отправлен пользователем, от имени ко
CWE-359
Продукт не предотвращает должным образом доступ к персональным данным лица со стороны субъектов, которые (1) не имеют явного разреш

Связанные уязвимости

CVE-2025-32642Уязвимость Cross-Site Request Forgery (CSRF) в плагине Vite Coupon позволяет выполнить удаленное включение кода. Эта проблема затрагивает Vite Coupon версий до 1.0.7 [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/vite-coupon/vulnerability/wordpress-vite-coupon-plugin-1-0-7-csrf-to-remote-code-execution-rce-vulnerability?_s_id=cve
CVE-2025-23922Уязвимость Cross-Site Request Forgery (CSRF) в Harsh iSpring Embedder позволяет загружать веб-оболочку на веб-сервер. Эта проблема затрагивает iSpring Embedder: от n/a до 1.0.
CVE-2025-12479Системное отсутствие кросс-сайтов запроса подделки (CSRF) Token Implementation.Этот вопрос затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5 .
CVE-2019-3809Обнаружена уязвимость в Moodle версий с 3.1 по 3.1.15 и более ранних неподдерживаемых версиях. Функция mybackpack позволяла устанавливать URL-адрес значков, когда он должен быть ограничен URL-адресом Mozilla Open Badges backpack. Это привело к возможности слепого SSRF через запросы, сделанные страницей.
CVE-2017-5145Проблема обнаружена в Carlo Gavazzi VMU-C EM до версии прошивки A11_U05 и VMU-C PV до версии прошивки A17. Успешная эксплуатация этой уязвимости CROSS-SITE REQUEST FORGERY (CSRF) может позволить выполнить несанкционированные действия на устройстве, такие как изменение параметров конфигурации и сохранение измененной конфигурации.
CVE-2018-1712Developer Portal IBM API Connect версий 5.0.0.0 - 5.0.8.3 уязвим для Server Side Request Forgery. Злоумышленник, использующий специально созданные входные параметры, может обманом заставить сервер выполнять потенциально вредоносные вызовы внутри доверенной сети. IBM X-Force ID: 146370.
CVE-2025-48340Уязвимость Cross-Site Request Forgery (CSRF) в плагине User Profile Meta Manager от Danny Vink позволяет осуществить повышение привилегий. Эта проблема затрагивает версии User Profile Meta Manager от n/a до 1.02 [1]. На данный момент официального исправления нет, и уязвимость имеет низкий уровень опасности. Рекомендуется следить за обновлениями плагина. Источники: - [1] https://patchstack.com/database/wordpress/plugin/user-profile-meta/vulnerability/wordpress-user-profile-meta-manager-plugin-1-02-csrf-to-privilege-escalation-vulnerability?_s_id=cve
CVE-2025-31033Уязвимость Cross-Site Request Forgery (CSRF) в Buddypress Humanity позволяет выполнить межсайтовую подделку запроса. Эта проблема затрагивает Buddypress Humanity: с n/a до версии 1.2. Источники: - [1] https://patchstack.com/database/wordpress/plugin/buddypress-humanity/vulnerability/wordpress-buddypress-humanity-plugin-1-2-csrf-to-privilege-escalation-vulnerability?_s_id=cve
CVE-2025-2907Плагин WordPress Order Delivery Date до версии 12.3.1 не имеет проверок авторизации и CSRF при импорте настроек. Кроме того, в нем отсутствуют надлежащие проверки, чтобы обновлять только параметры, относящиеся к плагину Order Delivery Date WordPress до версии 12.3.1. Это позволяет злоумышленникам изменять default_user_role на administrator и users_can_register, разрешая им регистрироваться в качестве администратора сайта для полного захвата сайта [1]. Источники: - [1] https://wpscan.com/vulnerability/2e513930-ec01-4dc6-8991-645c5267e14c/
CVE-2025-23797Уязвимость межсайтовой подделки запросов (CSRF) в Mike Selander WP Options Editor позволяет повысить привилегии. Эта проблема затрагивает WP Options Editor: от n/a до 1.1.
CVE-2024-56012Уязвимость Cross-Site Request Forgery (CSRF) в Pearlbells Flash News / Post (Responsive), Pearlbells Post Title (TypeWriter) позволяет повысить привилегии. Эта проблема затрагивает Flash News / Post (Responsive): от n/a до 4.1; Post Title (TypeWriter): от n/a до 4.1.
CVE-2024-47634Уязвимость межсайтовой подделки запросов (CSRF) в Streamline.Lv CartBounty – Save and recover abandoned carts for WooCommerce позволяет выполнять межсайтовую подделку запросов. Эта проблема затрагивает CartBounty – Save and recover abandoned carts for WooCommerce: от n/a до 8.2.
CVE-2024-47359Уязвимость, связанная с отсутствием авторизации, в Depicter Slider и Popup by Averta Depicter Slider позволяет получить доступ к функциональности, не ограниченной должным образом ACL. Эта проблема затрагивает Depicter Slider: от n/a до 3.2.2.
CVE-2024-34502Обнаружена проблема в WikibaseLexeme в MediaWiki до версий 1.39.6, 1.40.x до 1.40.2 и 1.41.x до 1.41.1. Загрузка Special:MergeLexemes (попытается) внести изменение, которое объединяет from-id с to-id, даже если запрос не был POST-запросом, и даже если он не содержит токен редактирования.
CVE-2024-33449Проблема SSRF в сервисе PDFMyURL позволяет удаленному злоумышленнику получить конфиденциальную информацию и выполнить произвольный код через POST-запрос в параметре url.