CWE-698 · Выполнение кода после перенаправления (EAR)

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-698БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Выполнение кода после перенаправления (EAR)

Веб-приложение отправляет перенаправление на другой ресурс, однако вместо завершения работы продолжает выполнять дополнительный код.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-3376В SourceCodester Computer Laboratory Management System 1.0 обнаружена уязвимость, классифицированная как критическая. Проблема затрагивает неизвестную часть файла config.php. Манипулирование аргументом url приводит к выполнению после перенаправления. Атаку можно инициировать удаленно. Эксплойт был обнародован и может быть использован. Идентификатор VDB-259497 был присвоен этой уязвимости.

CVE-2024-2573В SourceCodester Employee Task Management System 1.0 обнаружена уязвимость, классифицированная как критическая. Уязвимой является неизвестная функция файла /task-info.php. Манипуляция приводит к выполнению после перенаправления. Атаку можно начать удаленно. Идентификатором этой уязвимости является VDB-257076.

CVE-2024-2572В SourceCodester Employee Task Management System 1.0 обнаружена уязвимость. Ей присвоена оценка «критическая». Эта проблема затрагивает некоторую неизвестную обработку файла /task-details.php. Манипуляция приводит к выполнению после перенаправления. Атака может быть инициирована удаленно. Соответствующим идентификатором этой уязвимости является VDB-257075.

CVE-2024-2571В SourceCodester Employee Task Management System 1.0 обнаружена уязвимость. Она была объявлена критической. Эта уязвимость затрагивает неизвестный код файла /manage-admin.php. Манипуляция приводит к выполнению после перенаправления. Атака может быть инициирована удаленно. Идентификатором, присвоенным этой уязвимости, является VDB-257074.

CVE-2024-2570В SourceCodester Employee Task Management System 1.0 обнаружена уязвимость. Она была классифицирована как критическая. Это затрагивает неизвестную часть файла /edit-task.php. Манипуляция приводит к выполнению после перенаправления. Атаку можно инициировать удаленно. Этой уязвимости был присвоен идентификатор VDB-257073.

CVE-2024-2569В SourceCodester Employee Task Management System 1.0 обнаружена уязвимость, классифицированная как критическая. Эта проблема затрагивает некоторую неизвестную функциональность файла /admin-manage-user.php. Манипуляция приводит к выполнению после перенаправления. Атака может быть начата удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-257072.

CVE-2025-6967Исполнение после перенаправления (EAR) в Sarman Soft Software and Technology Services Industry and Trade Ltd. Ко. CMS позволяет JSON Hijacking (он же JavaScript Hijacking), Authentication Bypass. Эта проблема затрагивает CMS: до 10022026. ПРИМЕЧАНИЕ: Продавец связался рано по поводу этого раскрытия, но никоим образом не ответил.

CVE-2024-48766NetAlertX версии 24.7.18 до 24.10.12 содержит уязвимость, связанную с неавторизованным чтением файлов из-за возможности обхода директорий в компоненте logs.php. Это позволяет неаутентифицированным злоумышленникам запрашивать лог-файлы и читать произвольные файлы на сервере [1]. Источники: - [1] https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/ - [2] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/scanner/http/netalertx_file_read.rb

CVE-2024-2635Доступные страницы конфигурации не предназначены для размещения на веб-сервере, подключенном к Интернету, поскольку они предоставляют клиенту, который может быть злоумышленником, пути к файлам. Вместо переписывания этих страниц, чтобы избежать этой уязвимости, они будут исключены из будущих выпусков Cegid Meta4 HR, поскольку они не предлагают функциональности продукта.

CVE-2025-53077Выполнение после перенаправления в Samsung DMS (Data Management Server) позволяет злоумышленникам выполнять ограниченные функции без разрешений. Злоумышленник может поставить под угрозу целостность платформы, выполнив эту уязвимость.

CVE-2025-9848Критическая уязвимость обнаружена в системе управления недвижимостью ScriptAndTools версии 1.0. Уязвимость связана с некорректным контролем доступа в файле /admin/userlist.php, что позволяет получить доступ к конфиденциальной информации без авторизации [1]. Атакующий может воспользоваться этой уязвимостью, используя расширения, не выполняющие редирект, и получить доступ к чувствительной информации пользователей. Рекомендуется использовать альтернативный продукт. Источники: - [1] https://vuldb.com/?id.322197 - [2] https://vuldb.com/?ctiid.322197 - [3] https://vuldb.com/?submit.641980 - [4] https://www.websecurityinsights.my.id/2025/08/real-estate-management-system-v-10-user.html

CVE-2026-3264Уязвимость была определена в go2ismail Free-CRM до b83c40a90726d5e58f0cc680fdcaa28a28a03fb5d1. Затронута эта проблема некоторая неизвестная функциональность компонента Административный интерфейс. Выполнение манипуляции может привести к исполнению после перенаправления. Нападение может быть выполнено дистанционно. Эксплойт был публично раскрыт и может быть использован. Этот продукт реализует скользящий выпуск для текущей поставки, что означает, что информация о версии для затронутых или обновленных релизов недоступна. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.

CVE-2026-3262Уязвимость была обнаружена в go2ismail Asp.Net-Core-Inventory-Order-Management-System до 9.20250118. Затронутая - неизвестная функция компонента Административного интерфейса. Такие манипуляции приводят к исполнению после перенаправления. Атака может быть запущена дистанционно. Эксплойт был раскрыт общественности и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.

CVE-2026-10271Недостаток был обнаружен в a4m4 Student-Management-System до f0c5f6842c5e8c431ff02b5260a565ca844df3a0. Пораженный элемент представляет собой неизвестную функцию админа файла/ компонента Admin Endpoint. Эта манипуляция аргументом вызывает исполнение после перенаправления. Можно инициировать атаку удаленно. Эксплойт был опубликован и может быть использован. Этот продукт использует прокатный выпуск для обеспечения непрерывной доставки. Таким образом, никаких подробностей для затронутых или обновленных релизов не имеется. Поражаются несколько конечных точек. Проект был проинформирован о проблеме на ранней стадии в результате выпуска, но пока не ответил.