V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-601БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Перенаправление URL на ненадёжный сайт («открытое перенаправление»)

Веб-приложение принимает управляемые пользователем входные данные, задающие ссылку на внешний сайт, и использует её для перенаправления.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-178
Межсайтовая Flash-атака (Cross-Site Flashing)

Связанные уязвимости

CVE-2025-55031Вредоносные страницы могут использовать Firefox для iOS, чтобы пройти FIDO: ссылки на ОС и запустить гибридный транспорт пароли. Злоумышленник в диапазоне Bluetooth мог использовать это, чтобы обмануть пользователя, чтобы использовать свою пароль для регистрации компьютера злоумышленника в целевую учетную запись. Эта уязвимость была исправлена в Firefox для iOS 142 и Focus для iOS 142.
CVE-2025-43526Эта проблема была решена с улучшенной валидацией URL. Эта проблема исправлена в Safari 26.2, macOS Tahoe 26.2. На Mac с включенным режимом блокировки веб-контент, открытый с помощью URL-адреса файла, может использовать веб-авиа-файри, которые должны быть ограничены.
CVE-2024-22891Обнаружено, что Nteract v.0.28.0 содержит уязвимость удаленного выполнения кода (RCE) через ссылку Markdown.
CVE-2022-31657VMware Workspace ONE Access и Identity Manager содержат уязвимость внедрения URL-адреса. Злоумышленник с сетевым доступом может перенаправить аутентифицированного пользователя на произвольный домен.
CVE-2026-6795Перенаправление URL на уязвимость сайта («открытый перенаправление») в DivvyDrive Information Technologies Inc. DivvyDrive позволяет осуществлять инъекцию параметров. Эта проблема затрагивает DivvyDrive: от 4.8.2.9 до 4.8.3.2.
CVE-2026-23818В графическом пользовательском интерфейсе (GUI) HPE Aruba Networking Private 5G Core On-Prem была выявлена уязвимость, которая может позволить злоумышленнику злоупотреблять уязвимостью открытого перенаправления в потоке входа, используя созданный URL-адрес. Успешное использование может перенаправить аутентифицированного пользователя на контролируемый злоумышленником сервер, на котором размещена подделка страница входа в систему, побуждающая ничего не подозревающую жертву отдать свои учетные данные, которые затем могут быть захвачены злоумышленником, прежде чем быть перенаправленным обратно на законную страницу входа.
CVE-2022-40083В Labstack Echo v4.8.0 обнаружена уязвимость открытого перенаправления через компонент Static Handler. Эта уязвимость может быть использована злоумышленниками для вызова Server-Side Request Forgery (SSRF).
CVE-2026-33102Повышение привилегий в Microsoft 365 Copilot
CVE-2026-29067ZITADEL - это платформа для управления идентификацией с открытым исходным кодом. От версии 4.0.0-rc.1 до 4.7.0 существует потенциальная уязвимость в механизме сброса пароля ZITADEL во входе V2. ZITADEL использует заголовок пересылаемых или X-Forwarded-Host из входящих запросов для построения URL-адреса для ссылки подтверждения сброса пароля. Эта ссылка, содержащая секретный код, затем отправляется по электронной почте пользователю. Эта проблема была исправлена в версии 4.7.1.
CVE-2025-2697IBM Cognos Command Center 10.2.4.1 и 10.2.5 может позволить удаленному злоумышленнику провести фишинговую атаку с использованием атаки открытого перенаправления. Убедив жертву посетить специально созданный веб-сайт, удаленный злоумышленник может воспользоваться этой уязвимостью, чтобы подделать отображаемый URL-адрес и перенаправить пользователя на вредоносный веб-сайт, который будет казаться доверенным. Это может позволить злоумышленнику получить доступ к высокочувствительной информации или провести дальнейшие атаки на жертву [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7242159
CVE-2022-41559Веб-клиентский компонент TIBCO Nimbus от TIBCO Software Inc. содержит легко эксплуатируемую уязвимость, которая позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом использовать открытое перенаправление в затронутой системе. Успешная атака с использованием этой уязвимости требует взаимодействия с человеком, отличным от злоумышленника. Уязвимые выпуски: TIBCO Nimbus от TIBCO Software Inc.: версия 10.5.0.
CVE-2019-6741Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Samsung Galaxy S9 до январского обновления безопасности 2019 года (SMR-JAN-2019 - SVE-2018-13467). Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку цель должен подключиться к беспроводной сети. Конкретный недостаток существует в captive portal. Манипулируя HTML, злоумышленник может принудительно перенаправить страницу. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Was ZDI-CAN-7476.
CVE-2025-54145QR-сканер может позволить открывать произвольные веб-сайты, если пользователь был обманут в сканировании вредоносной ссылки, которая использовала схему URL-адреса Firefox с открытым текстом. Эта уязвимость была исправлена в Firefox для iOS 141.
CVE-2024-33661Portainer до версии 2.20.0 допускает перенаправления, когда целевой объект не является index.yaml.
CVE-2017-8989Уязвимость безопасности в HPE IceWall SSO Dfw 10.0 и 11.0 на RHEL, HP-UX и Windows может быть использована удаленно для перенаправления URL.