CWE-80ВариантНеполный
Некорректная нейтрализация HTML-тегов, связанных со скриптами, на веб-странице (базовый XSS)
Продукт получает входные данные от вышестоящего компонента, но не нейтрализует или некорректно нейтрализует специальные символы, такие как «<», «>» и «&», которые могут быть интерпретированы как элементы веб-скриптинга при отправке нижестоящему компоненту, обрабатывающему веб-страницы.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-39216Неправильная проверка входных данных в Zoom Desktop Client для Windows до версии 5.14.7 может позволить неаутентифицированному пользователю включить повышение привилегий через сетевой доступ.
CVE-2019-13923Уязвимость была обнаружена в IE/WSN-PA Link WirelessHART Gateway (все версии). Интегрированный веб-сервер конфигурации затронутого устройства может допускать атаки Cross-Site Scripting (XSS), если ничего не подозревающие пользователи обманом перейдут по вредоносной ссылке. Для успешной эксплуатации требуется взаимодействие с пользователем. Пользователь должен быть зарегистрирован в веб-интерфейсе, чтобы эксплуатация прошла успешно. На этапе публикации этой рекомендации по безопасности об общедоступной эксплуатации не известно.
CVE-2025-53883Неправильная нейтрализация HTML-тегов, Связанных со сценарием, в уязвимости веб-страницы (Basic XSS) позволяет злоумышленникам запускать произвольный javascript через отраженную проблему XSS в полях поиска. Эта проблема затрагивает использование / менеджер контейнера/5.0/x86_64/server: от ? до 5.0.28-150600.3.36.8; SUSE Manager Server 4.3
CVE-2026-32891Anchorr - это робот Discord для запроса фильмов и телепередач и получения уведомлений при добавлении элементов на медиасервер. Версии 1.4.1 и ниже содержат сохраненную уязвимость XSS в селекторе пользователя Jellyseerr. Jellyseerr позволяет любому владельцу учетной записи выполнять произвольный JavaScript в сеансе браузера администратора Anchorr. Вводимый скрипт называет аутентифицированную конечную точку /api/config, которая возвращает полную конфигурацию приложения в открытом тексте. Это позволяет злоумышленнику подделывать действительный токен сеанса Anchorr и получить полный доступ администратора к панели управления без знания пароля администратора. Тот же ответ также раскрывает ключи и токены API для каждого интегрированного сервиса, что приводит к одновременном поглощению учетной записи медиа-сервера Jellyfin (через JELLYFIN_API_KEY), менеджера запроса Jellyseerr (через JELLYSEERR_API_KEY) и бота Discord (через DISCORD_TOKEN). Эта проблема исправлена в версии 1.4.2.
CVE-2024-52300macro-pdfviewer — это макрос просмотра PDF для XWiki, использующий Mozilla pdf.js. Параметр ширины макроса просмотра PDF не экранируется должным образом, что позволяет выполнять XSS для любого пользователя, который может редактировать страницу. XSS может повлиять на конфиденциальность, целостность и доступность всей установки XWiki, когда администратор посещает страницу с вредоносным кодом. Это исправлено в версии 2.5.6.
CVE-2022-25620Неправильная нейтрализация HTML-тегов, связанных со скриптами, на веб-странице (Basic XSS) в Group Functionality Profelis IT Consultancy SambaBox позволяет АУТЕНТИФИЦИРОВАННОМУ пользователю выполнять произвольные коды на уязвимом сервере. Эта проблема затрагивает: Profelis IT Consultancy SambaBox 4.0 версии 4.0 и более ранних версий на x86.
CVE-2021-27915До пропатченной версии существует уязвимость XSS в полях описания в приложении Mautic, которую может использовать зарегистрированный пользователь Mautic с соответствующими разрешениями.
Это может привести к тому, что пользователь получит повышенный доступ к системе.
CVE-2026-6002Неправильная нейтрализация HTML-тегов, связанных со Script, на веб-странице (базовая XSS) уязвимость в DivvyDrive Information Technologies Inc. DivvyDrive позволяет осуществлять кросс-сайтные сценарии (XSS).
Эта проблема затрагивает DivvyDrive: от 4.8.2.9 до 4.8.3.2.
CVE-2024-2010Уязвимость неправильной нейтрализации связанных со скриптами HTML-тегов на веб-странице (XSS) в TE Informatics V5 позволяет выполнить отраженный XSS. Эта проблема затрагивает V5 до версии 6.2 [1].
Источники:
- [1] https://www.usom.gov.tr/bildirim/tr-24-1456
CVE-2026-27458LinkAce - это самостоятельный архив для сбора ссылок на сайт. Версии 2.4.2 и ниже имеют сохраненную уязвимость поперечного сценария через конечную точку подачи Atom для списков (/lists/feed). Аутентифицированный пользователь может ввести полезную нагрузку, нарушающую CDATA, в описание списка, которое избегает раздела XML CDATA, вводит собственный элемент SVG в документ Atom XML и выполняет произвольный JavaScript непосредственно в браузере при посещении URL-адреса ленты. Никакого RSS-ридера или дополнительного контекста рендеринга не требуется — родной XML-парсер браузера обрабатывает введенный SVG и увольняет обработчик загрузочного события. Эта уязвимость существует, потому что в списках шаблонов списков выводится описания списков с использованием необработанного синтаксиса ({!! !!}) Blade без дезинфекции внутри блока CDATA. Критическая деталь заключается в том, что, поскольку выход находится внутри <![CDATA[...]]>, злоумышленник может впрыснуть последовательность ]]>, чтобы преждевременно закрыть раздел CDATA, а затем ввести произвольные элементы XML/SVG, которые браузер анализирует и выполняет изначально как часть документа Atom. Эта проблема исправлена в версии 2.4.3.
CVE-2025-4278В GitLab CE/EE, начиная с версии 18.0 до 18.0.2, обнаружена проблема, связанная с внедрением HTML-кода на новой странице поиска, что может привести к захвату учетной записи [1][2].
Источники:
- [1] https://gitlab.com/gitlab-org/gitlab/-/issues/539198
- [2] https://hackerone.com/reports/3085738
CVE-2025-30210Bruno — это открытая IDE для изучения и тестирования API. До версии 1.39.1 настраиваемые компоненты подсказок, которые внутренне используют react-tooltip, устанавливали контент (в данном случае имя окружения) как необработанный HTML, который затем инъектировался в DOM при наведении курсора. Это, в сочетании с нестрогими ограничениями Политики Безопасности Контента, позволяло выполнять любой допустимый HTML-код, содержащий встроенные скрипты, при наведении на имя соответствующего окружения. Поверхность атаки данной уязвимости строго ограничена сценариями, когда пользователи импортируют коллекции из недоверенных или вредоносных источников. Эксплуатация требует намеренных действий со стороны пользователя — в частности, загрузки и открытия внешне предоставленной вредоносной коллекции экспорта Bruno или Postman и наведения курсора на имя окружения. Эта уязвимость устранена в версии 1.39.1.
CVE-2026-25935Vikunja - это приложение для организации вашей жизни. До 1.1.0 TaskGlanceTooltip.vue временно создает див и устанавливает ininHtml описание. Поскольку на сервере или клиентской стороне не происходит побег, злоумышленник может поделиться проектом, создать вредоносную задачу и вызвать XSS на зависании. Эта уязвимость фиксируется в 1.1.0.
CVE-2025-66450LibreChat - это клон ChatGPT с дополнительными функциями. В версиях 0.8.0 и ниже, когда пользователь публикует вопрос, параметр iconURL запроса POST может быть изменен злоумышленником. Затем вредоносный код сохраняется в чате, который затем может быть передан другим пользователям. При обмене чатами с потенциально вредоносным «трекером» загруженные ресурсы могут привести к потере конфиденциальности для пользователей, которые просматривают отправленную им ссылку чата. Эта проблема исправлена в версии 0.8.1.
CVE-2026-44369CVAT - это интерактивный инструмент для аннотирования видео и изображений с открытым исходным кодом для компьютерного зрения. С 2.5.0 до 2.63.0 злоумышленник, который способен создавать или редактировать руководство по аннотациям по заданию, может добавлять вредоносный код JavaScript, который затем будет работать в браузере любого, кто откроет это руководство по аннотации. Этот код сможет делать произвольные запросы в CVAT с привилегиями пользователя-жертвы. Эта уязвимость зафиксирована в пункте 2.64.0.