CWE-84 · Некорректная нейтрализация закодированных URI-схем на веб-странице

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-84ВариантЧерновик

Абстракция: Вариант

Статус: Черновик

Источник ↗

Некорректная нейтрализация закодированных URI-схем на веб-странице

Веб-приложение некорректно нейтрализует управляемые пользователем входные данные для исполняемых скриптов, замаскированных с использованием URI-кодирования.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-25729Подсказки разрешений для открытия внешних схем отображались только для <code>ContentPrincipals</code>, в результате чего расширения могли открывать их без взаимодействия с пользователем через <code>ExpandedPrincipals</code>. Это может привести к дальнейшим вредоносным действиям, таким как загрузка файлов или взаимодействие с программным обеспечением, уже установленным в системе. Эта уязвимость затрагивает Firefox < 110, Thunderbird < 102.8 и Firefox ESR < 102.8.

CVE-2025-58444В инструменте MCP Inspector, предназначенном для тестирования и отладки серверов MCP, была обнаружена проблема межсайтового скриптинга в версиях локального инструмента разработки до 0.16.6 при подключении к недоверенным удаленным серверам MCP с вредоносным URI перенаправления. Это могло быть использовано для прямого взаимодействия с инспектором-посредником и запуска произвольного выполнения команд. Пользователям рекомендуется обновиться до версии 0.16.6, чтобы устранить эту проблему [1]. Источники: - [1] https://github.com/modelcontextprotocol/inspector/security/advisories/GHSA-g9hg-qhmf-q45m - [2] https://github.com/modelcontextprotocol/inspector/commit/650f3090d26344a672026b737d81586595bb1f60

CVE-2022-40181Уязвимость была выявлена в Desigo PXM30-1 (все версии < V02.20.126.11-41), Desigo PXM30.E (все версии < V02.20.126.11-41), Desigo PXM40-1 (все версии < V02.20.126.11-41), Desigo PXM40.E (все версии < V02.20.126.11-41), Desigo PXM50-1 (все версии < V02.20.126.11-41), Desigo PXM50.E (все версии < V02.20.126.11-41), PXG3.W100-1 (все версии < V02.20.126.11-37), PXG3.W100-2 (все версии < V02.20.126.11-41), PXG3.W200-1 (все версии < V02.20.126.11-37), PXG3.W200-2 (все версии < V02.20.126.11-41). Встроенный в устройство браузер не предотвращает взаимодействие с альтернативными схемами URI при перенаправлении на соответствующие ресурсы кодом веб-приложения. Установив URI домашней страницы, избранные URI или перенаправив пользователей встроенного браузера через код JavaScript на ресурсы альтернативной схемы, удаленный злоумышленник с низкими привилегиями может выполнить ряд атак на устройство, таких как чтение произвольных файлов в файловой системе, выполнение произвольного кода JavaScript для кражи или манипулирования информацией на экране или вызвать условия отказа в обслуживании.

CVE-2024-52890IBM Engineering Lifecycle Optimization - Publishing версии 7.0.2 и 7.0.3 может быть восприимчив к межсайтовому скриптингу из-за отсутствия проверки URI. Источники: - [1] https://www.ibm.com/support/pages/node/7241392

CVE-2024-45045Collabora Online — это онлайн-офисный пакет для совместной работы, основанный на технологии LibreOffice. В мобильных (Android/iOS) вариантах Collabora Online можно было внедрить JavaScript через значения, закодированные в URL-адрес, в ссылках, содержащихся в документах. Поскольку интерфейс Android JavaScript обеспечивает доступ к внутренним функциям, вероятность того, что приложение может быть скомпрометировано из-за этой уязвимости, считается высокой. Немобильные варианты не затрагиваются. Мобильные варианты следует обновить до последней версии, предоставленной магазином приложений платформы. Известных обходных путей для этой уязвимости нет.

CVE-2021-3824OpenVPN Access Server 2.9.0 - 2.9.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через URL-адрес страницы входа в систему.

CVE-2020-7011Elastic App Search версий до 7.7.0 содержит недостаток межсайтового скриптинга (XSS) при отображении URL-адресов документов в Reference UI. Если Reference UI внедряет URL-адрес в результат, этот URL-адрес будет отображаться веб-браузером. Если злоумышленник может контролировать содержимое такого поля, он может выполнить произвольный JavaScript в веб-браузере жертвы.

CVE-2025-25334Проблема в Suning Commerce Group Suning EMall iOS 9.5.198 позволяет злоумышленникам получить доступ к конфиденциальной информации пользователя, предоставив специальную ссылку.

CVE-2025-25331Проблема в Beitatong Technology LianJia iOS 9.83.50 позволяет злоумышленникам получать доступ к конфиденциальной информации пользователя, предоставляя составленную ссылку.

CVE-2025-25330Проблема в Boohee Technology Boohee Health iOS 13.0.13 позволяет злоумышленникам получать доступ к конфиденциальной информации пользователей, предоставляя подготовленную ссылку.

CVE-2025-25329Проблема в компании Tencent Technology (Beijing) Company Limited Tencent MicroVision iOS 8.137.0 позволяет злоумышленникам получать доступ к чувствительной информации пользователя, предоставив созданную ссылку.

CVE-2025-25326Проблема в Merchants Union Consumer Finance Company Limited Merchants Union Finance iOS 6.19.0 позволяет злоумышленникам получать доступ к конфиденциальной информации пользователей, предоставляя сконструированную ссылку.

CVE-2025-25325Проблема в Yibin Fengguan Network Technology Co., Ltd YuPao DirectHire iOS 8.8.0 позволяет злоумышленникам получать доступ к конфиденциальной информации пользователя, предоставив специально подготовленную ссылку.

CVE-2025-25324Проблема в Shandong Provincial Big Data Center AiShanDong iOS 5.0.0 позволяет злоумышленникам получать доступ к конфиденциальной информации о пользователе через предоставление поддельной ссылки.

CVE-2025-25323Проблема в Qianjin Network Information Technology (Shanghai) Co., Ltd 51Job iOS 14.22.0 позволяет нападающим получить доступ к конфиденциальной информации пользователей, предоставив специально подготовленную ссылку.