CWE-692СоставнойЧерновик
Неполный список запрещённых элементов для защиты от межсайтового скриптинга
Программный продукт использует механизм защиты на основе списка запрещённых элементов против XSS-атак, однако этот список неполон, что позволяет вариантам XSS обходить защиту.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-20240Уязвимость в функции Web Authentication программного обеспечения Cisco IOS XE может позволить неаутентифицированному удаленному злоумышленнику провести отраженную XSS-атаку на уязвимое устройство. Уязвимость связана с неправильной очисткой данных, предоставленных пользователем. Злоумышленник может воспользоваться этой уязвимостью, заставив пользователя перейти по вредоносной ссылке. Успешная эксплуатация может позволить злоумышленнику выполнить отраженную XSS-атаку и украсть файлы cookie пользователя с уязвимого устройства [1].
Источники:
- [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webui-xss-VWyDgjOU
CVE-2024-30924Уязвимость межсайтового скриптинга в DerbyNet v9.0 и ниже позволяет злоумышленникам выполнять произвольный код через компонент checkin.php.
CVE-2025-49590CryptPad - это пакет для совместной работы. До версии 2025.3.0 функциональность «Link Bouncer» пытается фильтровать яваскрипты URI для предотвращения сценариев поперечного сайдта (XSS), однако это можно обойти. Существует «раннее допустимое» путь кода, который происходит до того, как протокол / схема URI будет проверена, которому может следовать злонамеренно созданный URI. Этот вопрос исправлен в версии 2025.3.0.