V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
CWE-451КлассЧерновик
Абстракция: Класс
Статус: Черновик
Источник ↗

Искажение критической информации в пользовательском интерфейсе

Пользовательский интерфейс не представляет пользователю критическую информацию должным образом, что позволяет скрывать или подменять саму информацию либо её источник. Это нередко является составной частью фишинговых атак.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-98
Фишинг
CAPEC-154
Подмена расположения ресурса
CAPEC-163
Целевой фишинг (Spear Phishing)
CAPEC-164
Мобильный фишинг
CAPEC-173
Подмена действия

Связанные уязвимости

CVE-2026-2634Malicious scripts could cause desynchronization between the address bar and web content before a response is received in Firefox iOS, allowing attacker-controlled pages to be presented under spoofed domains. This vulnerability affects Firefox for iOS < 147.4.
CVE-2026-0907Межсайтовый скриптинг в Prisma Access Browser
CVE-2026-0906Межсайтовый скриптинг в Prisma Access Browser
CVE-2025-8043Focus неправильно обрезает URL-адреса, смещая их к началу вместо того, чтобы вокруг начала координат. Эта уязвимость затрагивает Firefox < 141 и Thunderbird < 141. Более подробная информация доступна в соответствующих источниках [1]. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1970209 - [2] https://www.mozilla.org/security/advisories/mfsa2025-56/ - [3] https://www.mozilla.org/security/advisories/mfsa2025-61/
CVE-2024-43461Уязвимость спуфинга платформы Windows MSHTML.
CVE-2024-0750Ошибка в расчете задержки уведомлений всплывающих окон могла позволить злоумышленнику обманом заставить пользователя предоставить разрешения. Эта уязвимость затрагивает Firefox < 122, Firefox ESR < 115.7 и Thunderbird < 115.7.
CVE-2021-41598В GitHub Enterprise Server была обнаружена уязвимость, связанная с неверным представлением пользовательского интерфейса, которая позволяла предоставлять больше разрешений во время веб-потока авторизации пользователя GitHub App, чем отображалось пользователю во время утверждения. Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо было создать GitHub App в экземпляре и попросить пользователя авторизовать приложение через веб-поток аутентификации. Все предоставляемые разрешения правильно отображались бы во время первой авторизации, но если бы пользователь позже обновил набор репозиториев, на которых было установлено приложение, после того как GitHub App настроил дополнительные разрешения на уровне пользователя, эти дополнительные разрешения не отображались бы, что привело бы к предоставлению большего количества разрешений, чем пользователь потенциально намеревался. Эта уязвимость затрагивала все версии GitHub Enterprise Server до 3.3 и была исправлена в версиях 3.2.5, 3.1.13, 3.0.21. Об этой уязвимости было сообщено через программу GitHub Bug Bounty.
CVE-2021-22866В GitHub Enterprise Server была выявлена уязвимость неверного представления пользовательского интерфейса, которая позволяла предоставлять больше разрешений во время веб-потока авторизации пользователя GitHub App, чем отображалось пользователю во время утверждения. Чтобы использовать эту уязвимость, злоумышленнику потребуется создать приложение GitHub в экземпляре и авторизовать приложение через поток веб-аутентификации. Все предоставляемые разрешения будут правильно отображаться во время первой авторизации, но при определенных обстоятельствах, если пользователь повторно посетит поток авторизации после того, как приложение GitHub настроило дополнительные разрешения на уровне пользователя, эти дополнительные разрешения могут не отображаться, что приведет к предоставлению больше разрешений, чем пользователь потенциально намеревался. Эта уязвимость затронула GitHub Enterprise Server 3.0.x до 3.0.7 и 2.22.x до 2.22.13. Она была исправлена в версиях 3.0.7 и 2.22.13. Об этой уязвимости было сообщено через программу GitHub Bug Bounty.
CVE-2020-9236В продукте Huawei обнаружена уязвимость неправильного проектирования интерфейса. Интерфейс модуля затронутого продукта неправильно обрабатывает некоторые операции. Злоумышленники могут воспользоваться этой уязвимостью для выполнения вредоносных операций, чтобы поставить под угрозу службу модуля. (Vulnerability ID: HWPSIRT-2020-05010) Этой уязвимости присвоен идентификатор Common Vulnerabilities and Exposures (CVE): CVE-2020-9236.
CVE-2024-52277Уязвимость, связанная с искажением критически важной информации в пользовательском интерфейсе (UI), в DocuSeal позволяет осуществлять спуфинг контента. Отображаемая версия не показывает версию со сведенными слоями, после загрузки, при печати (например, через Google Chrome -> Examine the print preview): будет отображаться только уязвимость, не все слои будут сведены. Эта проблема затрагивает DocuSeal: до 1.8.1, >1.8.1.
CVE-2024-52276Уязвимость, связанная с искажением критически важной информации в пользовательском интерфейсе (UI), в DocuSign позволяет осуществлять спуфинг контента. 1. Отображаемая версия не показывает версию со сведенными слоями, которая предоставляется при использовании опции «Печать». 2. Отображаемая версия не показывает версию со сведенными слоями, которая предоставляется при использовании объединенной опции загрузки. 3. Отображаемая версия не показывает версию со сведенными слоями, которая также является предоставленной версией при загрузке результата в необъединенной опции. После загрузки, при печати (например, через Google Chrome -> Examine the print preview): будет отображаться только уязвимость, не все слои будут сведены. Эта проблема затрагивает DocuSign: до 2024-12-04.
CVE-2024-52271Уязвимость, связанная с искажением критически важной информации в пользовательском интерфейсе (UI), в Documenso позволяет осуществлять спуфинг контента. Отображаемая версия не показывает версию со сведенными слоями, после загрузки, при печати (например, через Google Chrome -> Examine the print preview): будет отображаться только уязвимость, не все слои будут сведены. Эта проблема затрагивает Documenso: до 1.8.0, >1.8.0 и Documenso SaaS (Hosted) по состоянию на 2024-12-05.
CVE-2024-52270Уязвимость, связанная с искажением критически важной информации в пользовательском интерфейсе (UI), в DropBox Sign(HelloSign) позволяет осуществлять спуфинг контента. Отображаемая версия не показывает версию со сведенными слоями, после загрузки, при печати (например, через Google Chrome -> Examine the print preview): будет отображаться только уязвимость, не все слои будут сведены. Эта проблема затрагивает DropBox Sign(HelloSign): до 2024-12-04.
CVE-2024-52269Уязвимость, связанная с искажением критически важной информации в пользовательском интерфейсе (UI), в DocuSign позволяет осуществлять спуфинг контента. SaaS AI assistant игнорирует скрытое содержимое, отображаемое после подписания, вводя пользователя в заблуждение. Для справки см.: CVE-2024-52276. Эта проблема затрагивает DocuSign: до 2024-12-04.
CVE-2025-11720Пользовательский интерфейс подмены в Mozilla Firefox