CAPEC-528СтандартЧерновик
XML-флуд
Злоумышленник может выполнить флудинг с использованием XML-сообщений с целью лишения легитимных пользователей доступа к веб-сервису. Данные атаки осуществляются путём отправки большого количества XML-запросов и предоставления сервису возможности попытаться выполнить синтаксический анализ каждого из них. Во многих случаях такой тип атаки приводит к XML-отказу в обслуживании (XDoS) вследствие нестабильной работы, зависания или аварийного завершения работы приложения.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2025-11832Распределение ресурсов без лимитов или уязвимости в технологии Azure Access BLU-IC2, Azure Access Technology BLU-IC4 позволяет наводнение.Эта проблема затрагивает BLU-IC2: до 1,19.5; BLU-IC4: до 1.19.5.
CVE-2026-31283В Totara LMS v19.1.5 и ранее забытый пароль API не реализует ограничение тарифа для целевого адреса электронной почты, который можно использовать для атаки Email Bombing. ПРИМЕЧАНИЕ: Позиция Поставщика заключается в том, что конфигурация pwresettime по умолчанию до 30 минут, конфигурация pwresettime представляет собой жесткий контроль, применяемый с помощью флага PWRESET_STATUS_ALREADYSENT, и никаких дальнейших сообщений электронной почты с перезагрузкой пароля не отправляется, если этот флаг активен для конкретного адреса электронной почты.
CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.
CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.
CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.
CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.
CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.
CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.
CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2025-22273Приложение не ограничивает количество или частоту взаимодействий пользователей, таких как количество входящих запросов. По адресу "/EPMUI/VfManager.asmx/ChangePassword" возможно осуществить атаку грубой силой на текущий используемый пароль.
Эта проблема затрагивает CyberArk Endpoint Privilege Manager в версии SaaS 24.7.1. Статус других версий неизвестен. После нескольких попыток связаться с поставщиком мы не получили никакого ответа.
CVE-2025-65015joserfc - это библиотека Python, которая обеспечивает реализацию нескольких стандартов JSON Object Signing and Encryption (JOSE). В версиях от 1.3.3 до 1.3.5 и с 1.4.0 до 1.4.2 сообщения ExceedSizeError встроены в нерасшифрованные части токенов JWT и могут привести к тому, что журналирование Python зафиксирует сколь угодно большую, поддельную полезную нагрузку JWT. В ситуациях, когда неправильно настроенный или полностью отсутствующий веб-сервер производственного класса находится перед веб-приложением Python, злоумышленник может отправлять сколь угодно большие токены на предъявителя в заголовках HTTP-запроса. Когда это происходит, инструменты регистрации или диагностики Python (например, Sentry) могут в конечном итоге обрабатывать чрезвычайно большие бревенчатые сообщения, содержащие полный заголовок JWT, во время операции joserfc.jwt.decode(). Такое же поведение также появляется при проверке претензий и размеров полезной нагрузки подписи, поскольку библиотека поднимает joserfc.errors.ExceededSizeError() с полной полезной нагрузкой, встроенной в сообщение об исключении. Поскольку на данном этапе полезная нагрузка уже полностью загружена в память, библиотека не может предотвратить или отклонить ее. Эта проблема была исправлена в версиях 1.3.5 и 1.4.2.
CVE-2025-27419WeGIA - это открытый веб-менеджер для учреждений с акцентом на русскоязычных пользователей. В WeGIA существует уязвимость отказа в обслуживании (DoS). Эта уязвимость позволяет любому неаутентифицированному пользователю заставить сервер стать неотзывчивым, проводя агрессивное парсинг. Уязвимость вызвана рекурсивным обходом динамически сгенерированных URL-адресов и недостаточной обработкой больших объемов запросов. Эта уязвимость исправлена в версии 3.2.16.