CAPEC-468 · Универсальная межбраузерная межсайтовая кража данных

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-468СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

Универсальная межбраузерная межсайтовая кража данных

Злоумышленник использует внедрение каскадных таблиц стилей (CSS) для кражи данных из другого домена в браузере жертвы. Атака основана на злоупотреблении стандартами загрузки CSS: 1. Файлы cookie отправляются при любой загрузке CSS (в том числе межсайтовой). 2. При синтаксическом анализе возвращённого CSS игнорируются все данные, не имеющие смысла, до тех пор пока CSS-анализатор не обнаружит допустимый CSS-дескриптор.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Кавычки, внедрённые в продукт, могут быть использованы для компрометации системы.

Продукт некорректно обрабатывает ситуацию, когда все входные данные или их часть закодированы в формате URL.

Программный продукт не обеспечивает или некорректно обеспечивает правильную структуру сообщений или данных и выполнение определ

Продукт использует или задаёт кодировку при формировании вывода для нижестоящего компонента, однако указанная кодировка не совпа

Связанные уязвимости

CVE-2026-29045Hono is a Web application framework that provides support for any JavaScript runtime. Prior to version 4.12.4, when using serveStatic together with route-based middleware protections (e.g. app.use('/admin/*', ...)), inconsistent URL decoding allowed protected static resources to be accessed without authorization. The router used decodeURI, while serveStatic used decodeURIComponent. This mismatch allowed paths containing encoded slashes (%2F) to bypass middleware protections while still resolving to the intended filesystem path. This issue has been patched in version 4.12.4.

CVE-2025-4052Неправильная реализация в DevTools в Google Chrome до версии 136.0.7103.59 позволяла удаленному злоумышленнику, который убедил пользователя выполнить определенные действия с UI, обойти дискреционное управление доступом через специально созданную HTML-страницу [1][2]. Источники: - [1] https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_29.html - [2] https://issues.chromium.org/issues/401927528

CVE-2022-4726Критическая уязвимость была обнаружена в SourceCodester Sanitization Management System 1.0. Эта уязвимость затрагивает неизвестную функциональность компонента Admin Login. Манипуляция аргументом username/password приводит к sql-инъекции. Атака может быть запущена удаленно. Соответствующий идентификатор этой уязвимости — VDB-216739.

CVE-2022-4592В luckyshot CRMx была обнаружена уязвимость и классифицирована как критическая. Эта проблема затрагивает функцию get/save/delete/comment/commentdelete файла index.php. Манипуляция приводит к SQL-инъекции. Атака может быть инициирована удаленно. Имя патча — 8c62d274986137d6a1d06958a6f75c3553f45f8f. Рекомендуется применить патч для исправления этой проблемы. Идентификатор VDB-216185 был присвоен этой уязвимости.

CVE-2022-4566В y_project RuoYi 4.7.5 была обнаружена уязвимость, которая была классифицирована как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла com/ruoyi/generator/controller/GenController. Манипуляция приводит к SQL-инъекции. Имя патча — 167970e5c4da7bb46217f576dc50622b83f32b40. Рекомендуется применить патч для исправления этой проблемы. Связанный идентификатор этой уязвимости — VDB-215975.

CVE-2022-4454Уязвимость, которая была классифицирована как критическая, была обнаружена в m0ver bible-online. Этой проблеме подвержена функция query файла src/main/java/custom/application/search.java компонента Search Handler. Манипуляции приводят к sql-инъекции. Имя патча — 6ef0aabfb2d4ccd53fcaa9707781303af357410e. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости — VDB-215444.

CVE-2022-4399В TicklishHoneyBee nodau обнаружена уязвимость. Она была оценена как критическая. Эта проблема затрагивает некоторую неизвестную функциональность файла src/db.c. Манипуляция аргументом value/name приводит к SQL-инъекции. Имя патча - 7a7d737a3929f335b9717ddbd31db91151b69ad2. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости - VDB-215252.

CVE-2022-4375В Mingsoft MCMS до версии 5.2.9 обнаружена уязвимость, классифицированная как критическая. Уязвима неизвестная функция файла /cms/category/list. Манипуляция аргументом sqlWhere приводит к SQL-инъекции. Атаку можно осуществить удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 5.2.10 позволяет решить эту проблему. Рекомендуется обновить уязвимый компонент. Идентификатор этой уязвимости - VDB-215196.

CVE-2022-4277Уязвимость была обнаружена в Shaoxing Background Management System. Она была объявлена критической. Эта уязвимость затрагивает неизвестный код файла /Default/Bd. Манипулирование аргументом id приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован. VDB-214774 - это идентификатор, присвоенный этой уязвимости.

CVE-2022-4275Уязвимость была обнаружена в House Rental System и классифицирована как критическая. Эта уязвимость затрагивает неизвестную функциональность файла search-property.php компонента POST Request Handler. Манипулирование аргументом search_property приводит к SQL-инъекции. Атака может быть начата удаленно. Эксплойт был раскрыт публично и может быть использован. Связанный идентификатор этой уязвимости - VDB-214771.

CVE-2022-4274Критическая уязвимость была обнаружена в House Rental System. Затронута неизвестная функция файла /view-property.php. Манипулирование аргументом property_id приводит к SQL-инъекции. Атаку можно начать удаленно. Эксплойт был раскрыт публично и может быть использован. VDB-214770 - идентификатор, присвоенный этой уязвимости.

CVE-2022-4257В C-DATA Web Management System обнаружена уязвимость. Она была оценена как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла cgi-bin/jumpto.php компонента GET Parameter Handler. Манипуляция аргументом hostname приводит к внедрению аргумента. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-214631.

CVE-2022-4248В Movie Ticket Booking System обнаружена уязвимость, которая была классифицирована как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла editBooking.php. Манипуляция аргументом id приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатор VDB-214625 был присвоен этой уязвимости.

CVE-2022-4247В Movie Ticket Booking System обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла booking.php. Манипуляция аргументом id приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-214624.

CVE-2022-4222Уязвимость была обнаружена в SourceCodester Canteen Management System. Ей присвоена критическая оценка. Эта проблема затрагивает функцию query файла ajax_invoice.php компонента POST Request Handler. Манипуляция аргументом search приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-214523.