CWE-86ВариантЧерновик
Некорректная нейтрализация недопустимых символов в идентификаторах на веб-странице
Продукт не нейтрализует или некорректно нейтрализует недопустимые символы или байтовые последовательности внутри имён тегов, URI-схем и других идентификаторов.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-31126`org.xwiki.commons:xwiki-commons-xml` - это XML-библиотека, используемая платформой вики XWiki с открытым исходным кодом. Санитайзер HTML, представленный в версии 14.6-rc-1, позволяет внедрять произвольный HTML-код и, следовательно, межсайтовый скриптинг через недопустимые атрибуты данных. Эта уязвимость не влияет на ограниченную очистку в HTMLCleaner, поскольку эти атрибуты очищаются, и, таким образом, такие символы, как `/` и `>`, удаляются во всех именах атрибутов. Эта проблема была исправлена в XWiki 14.10.4 и 15.0 RC1, чтобы атрибуты данных содержали только разрешенные символы. Нет известных обходных путей, кроме обновления до версии, включающей исправление.
CVE-2026-28417Vim is an open source, command line text editor. Prior to version 9.2.0073, an OS command injection vulnerability exists in the `netrw` standard plugin bundled with Vim. By inducing a user to open a crafted URL (e.g., using the `scp://` protocol handler), an attacker can execute arbitrary shell commands with the privileges of the Vim process. Version 9.2.0073 fixes the issue.
CVE-2024-21864Неправильная нейтрализация в некотором программном обеспечении Intel(R) Arc(TM) & Iris(R) Xe Graphics до версии 31.0.101.5081 может позволить не прошедшему проверку подлинности пользователю потенциально получить повышение привилегий через смежный сетевой доступ.
CVE-2021-33158Неправильная нейтрализация в некоторых Ethernet-адаптерах Intel(R) и встроенном ПО управления Ethernet-контроллера Intel(R) I225 может позволить привилегированному пользователю потенциально повысить свои привилегии через локальный доступ.
CVE-2023-22840Неправильная нейтрализация в программном обеспечении для GPU Intel(R) oneVPL до версии 22.6.5 может позволить аутентифицированному пользователю потенциально вызвать отказ в обслуживании через локальный доступ.
CVE-2025-20168Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2025-20167Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2025-20166Уязвимость в веб-интерфейсе управления Cisco Common Services Platform Collector (CSPC) может позволить аутентифицированному удаленному злоумышленнику проводить атаки межсайтового скриптинга (XSS) против пользователя интерфейса.
Эта уязвимость связана с недостаточной проверкой введенных пользователем данных веб-интерфейсом управления уязвимой системы. Злоумышленник может использовать эту уязвимость, внедрив вредоносный код в определенные страницы интерфейса. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации на основе браузера. Чтобы использовать эту уязвимость, злоумышленник должен иметь хотя бы учетную запись с низкими привилегиями на уязвимом устройстве.
Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных решений, устраняющих эту уязвимость, не существует.
CVE-2024-10941Вредоносный веб-сайт мог включить iframe с неправильным URI, что могло привести к неисправимому сбою браузера. Эта уязвимость затрагивает Firefox < 126.
CVE-2025-66606A vulnerability has been found in FAST/TOOLS provided by Yokogawa Electric Corporation.
This product does not
properly encode URLs. An attacker could tamper with web pages or execute
malicious scripts.
The
affected products and versions are as follows: FAST/TOOLS (Packages: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 to
R10.04