CWE-356 · Отсутствие предупреждения пользователя о небезопасных действиях

CWE-356БазаНеполный

Абстракция: База

Статус: Неполный

Отсутствие предупреждения пользователя о небезопасных действиях

Пользовательский интерфейс продукта не предупреждает пользователя перед выполнением небезопасного действия от его имени. Это облегчает злоумышленникам возможность обманом вынудить пользователя нанести вред своей системе.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-2450Уязвимость обработки файлов NI Vision Builder AI VBAI, отсутствующая предупреждающая информация о удаленном выполнении кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках NI Vision Builder AI. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в процессе обработки файлов VBAI. Проблема возникает из-за разрешения выполнения опасного скрипта без предупреждения пользователю. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Было ZDI-CAN-22833.

CVE-2022-39362Metabase - это программное обеспечение для визуализации данных. В версиях, предшествующих 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 и 1.41.9, несохраненные SQL-запросы выполняются автоматически, что может представлять собой возможный вектор атаки. Эта проблема устранена в версиях 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 и 1.41.9. Metabase больше не выполняет автоматически специальные собственные запросы. Теперь собственный редактор показывает запрос и предоставляет пользователю возможность вручную запустить запрос, если он этого хочет.

CVE-2019-6738Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bitdefender SafePay 23.0.10.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в обработке TIScript. При обработке метода launch приложение не выполняет надлежащую проверку строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7250.

CVE-2019-6737Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bitdefender SafePay 23.0.10.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в обработке TIScript. Проблема заключается в обработке метода openFile, который позволяет произвольную запись файлов с данными, контролируемыми злоумышленником. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7247.

CVE-2019-6736Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Bitdefender SafePay 23.0.10.34. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в обработке tiscript. При обработке метода System.Exec приложение не выполняет надлежащую проверку строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7234.

CVE-2019-13322Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в уязвимых установках Xiaomi Browser до версии 10.4.0. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в обработке приложения miui.share. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к произвольной загрузке приложения. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте пользователя. Was ZDI-CAN-7483.

CVE-2025-3909Обработка Thunderbird заголовка X-Mozilla-External-Attachment-URL может быть использована для выполнения JavaScript в контексте file:/// [1]. С помощью создания вложенного email-вложения (message/rfc822) и установки его типа содержимого в application/pdf, Thunderbird может неверно отображать его как HTML при открытии, что позволяет выполнить встроенный JavaScript без необходимости загрузки файла. Эта уязвимость затрагивает Thunderbird версии младше 128.10.1 и Thunderbird версии младше 138.0.1. ### Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1958376 - [2] https://www.mozilla.org/security/advisories/mfsa2025-34/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-35/

CVE-2026-25805Zed is a multiplayer code editor. Prior to 0.219.4, Zed does not show with which parameters a tool is being invoked, when asking for allowance. Further it does not show after the tool was being invoked, which parameters were used. Thus, maybe unwanted or even malicious values could be used without the user having a chance to notice it. Patched in Zed Editor 0.219.4 which includes expandable tool call details.

CVE-2025-3839[Require user interaction before opening URL in external application]

CVE-2026-0777Xmind Attachment Insufficient UI Warning Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Xmind. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of attachments. When opening an attachment, the user interface fails to warn the user of unsafe actions. An attacker can leverage this vulnerability to execute code in the context of current user. Was ZDI-CAN-26034.

CVE-2025-14417pdfforge PDF Architect Launch Insufficient UI Warning Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of pdfforge PDF Architect. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the implementation of the Launch action. The issue results from allowing the execution of dangerous script without user warning. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-27501.

CVE-2025-14415Soda PDF Desktop Launch Insufficient UI Warning Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Soda PDF Desktop. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the implementation of the Launch action. The issue results from allowing the execution of dangerous script without user warning. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-27494.

CVE-2025-14414Выполнение произвольного кода в Soda PDF Desktop

CVE-2025-14412Выполнение произвольного кода в Soda PDF Desktop

CVE-2025-14403PDFsam Enhanced Launch Insufficient UI Warning Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of PDFsam Enhanced. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the implementation of the Launch action. The issue results from allowing the execution of dangerous script without user warning. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-27500.