CWE-357 · Недостаточное предупреждение UI об опасных операциях

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-357БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Недостаточное предупреждение UI об опасных операциях

Пользовательский интерфейс отображает предупреждение об опасных или чувствительных операциях, однако оно недостаточно заметно, чтобы привлечь должное внимание.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-6426Предупреждение о исполняемом файле не предупреждало пользователей перед открытием файлов с расширением `terminal` [1]. *Этот баг затрагивает только Firefox для macOS. Другие версии Firefox не подвержены влиянию.* Эта уязвимость затрагивает Firefox < 140, Firefox ESR < 128.12, Thunderbird < 140 и Thunderbird < 128.12. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1964385 - [2] https://www.mozilla.org/security/advisories/mfsa2025-51/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-53/ - [4] https://www.mozilla.org/security/advisories/mfsa2025-54/ - [5] https://www.mozilla.org/security/advisories/mfsa2025-55/

CVE-2025-49585XWiki является универсальной платформой wiki. В версиях до 15.10.16, 16.0.0-rc-1 через 16.4.6 и 16.5.0-rc-1 через 16.10.1 при создании определения XClass злоумышленником без прав на скрипты или программирование (требуется право на редактирование), и последующем редактировании этого документа пользователем с правами на скрипты, административными или программистскими правами, вредоносный код может быть выполнен с правами редактирующего пользователя без предварительного предупреждения [1][2][3]. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-59w6-r9hm-439h - [2] https://github.com/xwiki/xwiki-platform/commit/385bde985cdb61ebf315d30c0b144b6d2e2c2d45 - [3] https://jira.xwiki.org/browse/XWIKI-22476

CVE-2025-49582XWiki представляет собой универсальную wiki-платформу. При редактировании содержимого, содержащего "опасные" макросы, подобные злоумышленным скриптовым макросам, созданным пользователем с меньшими правами, XWiki предупреждает о выполнении этих макросов с версии 15.9RC1. Анализаторы требуемых прав, вызывающие эти предупреждения, являются неполными, что позволяет злоумышленнику скрыть вредоносное содержимое. Для большинства макросов существующие анализаторы не учитывают параметры, не написанные в нижнем регистре. Более того, большинство параметров макросов, которые могут содержать синтаксис XWiki, например, заголовки информационных блоков, не были проанализированы вовсе. Аналогично, параметры "source" макросов содержимого и контекста не были проанализированы, хотя они могли содержать произвольный синтаксис XWiki. В худшем случае это могло позволить злоумышленнику добавить злоумышленные скриптовые макросы, включая макросы Groovy или Python, на страницу, которые затем выполняются после редактирования страницы другим пользователем с правами программирования, что позволяет выполнить удаленное выполнение кода. Анализаторы требуемых прав были сделаны более надежными и расширены для покрытия этих случаев в XWiki 16.4.7, 16.10.3 и 17.0.0. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-c32m-27pj-4xcj - [2] https://github.com/xwiki/xwiki-platform/commit/0a705e8e253cb871b804e25c53b2bde879c886bd - [3] https://github.com/xwiki/xwiki-platform/commit/3d451e957fe2b14459e9ac64172b4a0e4c46971c - [4] https://github.com/xwiki/xwiki-platform/commit/abdcefc0db27035b67329add836fd683e0cf92b8 - [5] https://github.com/xwiki/xwiki-platform/commit/cc74dc802efe0e2d3fa2ba3355dbadc51c5fd8c7

CVE-2025-33054Недостаточная проверка UI предупреждений о опасных операциях в Remote Desktop Client позволяет неавторизованному злоумышленнику выполнить спуфинг по сети. Источники: - [1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33054

CVE-2025-14414Выполнение произвольного кода в Soda PDF Desktop

CVE-2025-14412Выполнение произвольного кода в Soda PDF Desktop

CVE-2024-43505Уязвимость удаленного выполнения кода в Microsoft Office Visio.

CVE-2021-22645Luxion KeyShot версии до 10.1, Luxion KeyShot Viewer версии до 10.1, Luxion KeyShot Network Rendering версии до 10.1 и Luxion KeyVR версии до 10.1 уязвимы к атаке, поскольку документы .bip отображают команду “load”, которая может быть указана на .dll из удаленной сетевой папки. В результате точка входа .dll может быть выполнена без достаточного предупреждения пользовательского интерфейса.

CVE-2019-13521Вредоносный файл программы, открытый ничего не подозревающим пользователем Rockwell Automation Arena Simulation Software версии 16.00.00 и более ранних, может привести к ограниченному раскрытию информации, связанной с целевой рабочей станцией. Rockwell Automation выпустила версию 16.00.01 Arena Simulation Software для устранения заявленных уязвимостей.

CVE-2023-25743Отсутствие уведомления в приложении о переходе в полноэкранный режим могло привести к тому, что вредоносный веб-сайт подделал бы оформление браузера.<br>*Эта ошибка затрагивает только Firefox Focus. Другие версии Firefox не затронуты.*. Эта уязвимость затрагивает Firefox < 110 и Firefox ESR < 102.8.

CVE-2026-26151Недостаточно ui предупреждения об опасных операциях в Windows Remote Desktop позволяет несанкционированному злоумышленнику выполнять спуфинг по сети.

CVE-2022-41904Element iOS — это iOS Matrix-клиент, предоставляемый Element. Он основан на MatrixSDK. До версии 1.9.7 события, зашифрованные с использованием Megolm, для которых не удалось установить доверие, не были должным образом помечены (предупреждающими щитами). Поэтому вредоносный хоумсервер мог внедрять сообщения в комнату, не предупреждая пользователя о том, что сообщения были отправлены непроверенным членом группы, даже если пользователь ранее проверил всех членов группы. Эта проблема была исправлена в Element iOS 1.9.7. В настоящее время нет известных обходных путей.

CVE-2025-49587XWiki представляет собой программное обеспечение платформы вики с открытым исходным кодом. Когда пользователь без права на выполнение скриптов создает документ с объектом XWiki.Notifications.Code.NotificationDisplayerClass, а позже администратор редактирует и сохраняет этот документ, возможно вредоносное содержимое этого объекта выводится как необработанный HTML, что позволяет проводить атаки XSS [1]. Хотя средство отображения уведомлений выполняет Velocity, существующий общий анализатор уже предупреждает администраторов перед редактированием кода Velocity. Обратите внимание, что предупреждения перед редактированием документов с опасными свойствами были введены только в XWiki 15.9, а до этой версии это была известная проблема, и совет был просто быть осторожным. Эта уязвимость была устранена в XWiki 15.10.16, 16.4.7 и 16.10.2 путем добавления анализатора необходимых прав, предупреждающего администратора перед редактированием о возможном вредоносном коде. Источники: - [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-j7p2-87q3-44w7 - [2] https://github.com/xwiki/xwiki-platform/commit/55c5d568c4dc4619f37397d00d14dcdeab9c252d - [3] https://jira.xwiki.org/browse/XWIKI-22470

CVE-2024-4768Ошибка в взаимодействии всплывающих уведомлений с WebAuthn облегчала злоумышленнику обмануть пользователя, чтобы тот предоставил разрешения. Эта уязвимость затрагивает Firefox < 126, Firefox ESR < 115.11 и Thunderbird < 115.11.

CVE-2024-3863Предупреждение об исполняемом файле не отображалось при загрузке файлов .xrm-ms. *Примечание: эта проблема затрагивала только операционные системы Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 125, Firefox ESR < 115.10 и Thunderbird < 115.10.