CWE-939БазаНеполный
Некорректная авторизация в обработчике пользовательской схемы URL
Продукт использует обработчик для пользовательской схемы URL, однако не ограничивает должным образом, какие субъекты могут вызывать этот обработчик с использованием данной схемы.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-35394Mobile Next - это MCP-сервер для мобильной разработки и автоматизации. До 0.0.50 инструмент mobile_open_url в мобильном Mcp передает URL-адреса, поставляемые пользователям, непосредственно в систему намерений Android без какой-либо проверки схемы, что позволяет выполнять произвольные намерения Android, включая коды USSD, телефонные звонки, SMS-сообщения и доступ к контенту. Эта уязвимость фиксируется в 0.0.50.
CVE-2023-43582Неправильная авторизация в некоторых клиентах Zoom может позволить авторизованному пользователю провести повышение привилегий через сетевой доступ.
CVE-2026-6445В FlashArray Purity существует недостаток, когда недостаточная фильтрация определенных путей передачи данных может предоставить конфиденциальную информацию аутентифицированному пользователю с низкими привилегиями.
CVE-2024-33606Злоумышленник может получить конфиденциальные файлы (медицинские изображения), а также разместить новые медицинские изображения или перезаписать существующие медицинские изображения в системе MicroDicom DICOM Viewer. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем.
CVE-2026-53408Неправильное авторизация в Handler для пользовательской URL-схемы в Zoom Workplace до версии 7.0.4 для Android и до 7.0.3 для iOS может позволить неаутентифицированному пользователю провести эскалацию привилегий через сетевой доступ.
CVE-2026-53407Неправильное авторизация в Handler для пользовательской URL-схемы в Zoom Workplace до версии 7.0.4 для Android и до 7.0.3 для iOS может позволить пользователю с полным аутентификацией провести эскалацию привилегий через сетевой доступ.
CVE-2024-8383Firefox обычно запрашивает подтверждение, прежде чем просить операционную систему найти приложение для обработки схемы, которую браузер не поддерживает. Он не запрашивал подтверждение перед этим для схем, связанных с Usenet: news: и snews:. Поскольку в большинстве операционных систем по умолчанию не установлен доверенный новостной ридер, недобросовестная программа, которую загрузил пользователь, могла зарегистрироваться в качестве обработчика. Веб-сайт, который обслуживал загрузку приложения, мог затем запустить это приложение по своему усмотрению. Эта уязвимость затрагивает Firefox < 130, Firefox ESR < 128.2 и Firefox ESR < 115.15.
CVE-2026-3471Версии Mattermost Desktop App <=6.1 6.0.1 5.4.13.0 не могут предотвратить загрузку недействительного URL-адреса во всплывающем окне в приложении Mattermost Desktop, которое позволяет владельцу вредоносного сервера повторить сбой приложения через вызов {{window.open('javascript:alert()))}}. Соответственно, самый консультативный идентификатор: MMSA-2026-00618
CVE-2026-1046Mattermost Desktop версии приложения <=6.0 6.2.0 5.2.13.0 не в состоянии проверки ссылок справки, которые позволяют вредоносному серверу Mattermost выполнять произвольные исполняемые файлы в системе пользователя с помощью пользователя, нажимающего на определенные элементы в меню Справка Mattermost Advisory ID: MMSA-2026-00577
CVE-2020-11000GreenBrowser до версии 1.2 имеет уязвимость, из-за которой приложения, которые полагаются на разбор URL-адресов для проверки того, что данный URL-адрес указывает на доверенный сервер, могут быть восприимчивы ко множеству различных способов неправильного выполнения разбора и проверки URL-адресов, что позволяет злоумышленнику обойти контроль доступа. Эта проблема была исправлена в версии 1.2.
CVE-2026-33335Vikunja - это самостоянная платформа управления задачами с открытым исходным кодом. Начиная с версии 0.21.0 и до версии 2.2.0, обертка Vikunja Desktop Electron передает URL-адреса из `window.open()` звонит непосредственно на `shell.openExternal()` без какого-либо валидационного или протокола. Злоумышленник, который может разместить ссылку на `target="_blank"` (или который в противном случае запускает `window.open`) в пользовательском контенте, может заставить операционную систему жертвы открывать произвольные схемы URI, ссылаться на локальные приложения, открывать локальные файлы или вызывать обработчиков пользовательских протоколов. Версия 2.2.0 исправляет проблему.
CVE-2026-26123Cwe не в категориях локальных категорий в Microsoft Authenticator позволяет несанкционированному злоумышленнику раскрывать информацию на местном уровне.
CVE-2025-41408Уязвимость неправильной авторизации в обработчике пользовательской схемы URL в приложении "Yahoo! Shopping" для Android версий до 14.15.0 позволяет удаленному неаутентифицированному злоумышленнику перенаправить пользователя на произвольный веб-сайт в уязвимом приложении. В результате пользователь может стать жертвой фишинговой атаки [1].
Источники:
- [1] https://jvn.jp/en/jp/JVN35290164/
CVE-2022-20736Уязвимость в веб-интерфейсе управления программного обеспечения Cisco AppDynamics Controller может позволить не прошедшему проверку подлинности удаленному злоумышленнику получить доступ к файлу конфигурации и странице входа в консоль администрирования, к которой у него обычно нет прав доступа. Эта уязвимость связана с неправильной проверкой авторизации для HTTP-запросов, отправляемых в уязвимый веб-интерфейс управления. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос в уязвимый экземпляр AppDynamics Controller. Успешная эксплуатация может позволить злоумышленнику получить доступ к странице входа в консоль администрирования. AppDynamics выпустила обновления программного обеспечения, устраняющие эту уязвимость.
CVE-2025-5020Открытие вредоносных URL-адресов в Firefox из других приложений, таких как Safari, могло позволить злоумышленникам подделать адреса веб-сайтов, если URL-адреса использовали не-HTTP-схемы, используемые внутренне клиентом Firefox для iOS. Эта уязвимость затрагивает Firefox для iOS версии ниже 139.
Источники:
- [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1951558
- [2] https://www.mozilla.org/security/advisories/mfsa2025-39/