CWE-942ВариантНеполный
Разрешительная политика безопасности между доменами с ненадёжными доменами
Продукт использует механизм защиты веб-клиента — например, политику защиты содержимого (CSP) или файл политики для разных доменов, — однако политика включает ненадёжные домены, с которыми веб-клиенту разрешено взаимодействовать.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-27909IBM Concert Software 1.0.0-1.0 использует межпроисхождение ресурсов (CORS), которое может позволить злоумышленнику выполнять привилегированные действия, поскольку доменное имя не ограничивается только доверенными доменами.
CVE-2024-37131SCG Policy Manager, все версии, содержит чрезмерно разрешительную уязвимость Cross-Origin Resource Policy (CORP). Удаленный неаутентифицированный злоумышленник может использовать эту уязвимость, что приведет к выполнению вредоносных действий в приложении в контексте аутентифицированного пользователя.
CVE-2023-50940IBM PowerSC 1.3, 2.0 и 2.1 использует Cross-Origin Resource Sharing (CORS), что может позволить злоумышленнику выполнять привилегированные действия и извлекать конфиденциальную информацию, поскольку имя домена не ограничивается только доверенными доменами. IBM X-Force ID: 275130.
CVE-2022-31736Вредоносный веб-сайт мог узнать размер ресурса из другого источника, который поддерживал запросы Range. Эта уязвимость затрагивает Thunderbird < 91.10, Firefox < 101 и Firefox ESR < 91.10.
CVE-2022-26969В Directus до версии 9.7.0 параметры CORS_ORIGIN и CORS_ENABLED по умолчанию имеют значение true.
CVE-2021-27786Совместное использование ресурсов между разными источниками (CORS) позволяет браузерам выполнять междоменные запросы контролируемым образом. Этот запрос имеет заголовок Origin, который идентифицирует домен, выполняющий исходный запрос, и определяет протокол между браузером и сервером, чтобы увидеть, разрешен ли запрос. Злоумышленник может воспользоваться этим и, возможно, выполнить привилегированные действия и получить доступ к конфиденциальной информации, если Access-Control-Allow-Credentials включен.
CVE-2026-34449SiYuan - это система управления личными знаниями. До версии 3.6.2 вредоносный веб-сайт может достичь Удаленного Исполнения кода (RCE) на любом рабочем столе под управлением SiYuan, используя разрешительную политику CORS (Access-Control-Allow-Origin: * + Access-Control-Allow-Private-Network: true) для введения фрагмента JavaScript через API. Введенный фрагмент выполняет в контексте Node.js Electron с полным доступом к ОС в следующий раз, когда пользователь открывает пользовательский интерфейс SiYuan. Никакое взаимодействие пользователя не требуется, кроме посещения вредоносного веб-сайта, пока работает SiYuan. Эта проблема была исправлена в версии 3.6.2.
CVE-2026-9739Уязвимые для DNS-крининговых атак при использовании SSE (http://b/499408790). На этапе бета-версии мы внедрили «разрешенные-происхождения» и «разрешенные хосты» флаги, чтобы соответствовать руководящим принципам безопасности MCP. Однако хардкодированный `Access-Control-Allow-Origin: *` заголовок в обработчике инициализации SSE был непреднамеренно сохранен. Эта уязвимость особенно влияет на пользователей, подключающихся через Toolbox с использованием SSE в соответствии со спецификации v2024-11-05.
CVE-2026-8948Комбинация политики того же происхождения в DOM: Сетевой компонент. Эта уязвимость была исправлена в Firefox 151 и Thunderbird 151.
CVE-2023-25603Разрешительная политика междоменного взаимодействия с недоверенными доменами в Fortinet FortiADC 7.1.0 - 7.1.1, FortiDDoS-F 6.3.0 - 6.3.4 и 6.4.0 - 6.4.1 позволяет несанкционированному злоумышленнику выполнять привилегированные действия и получать конфиденциальную информацию через специально созданные веб-запросы.
CVE-2022-1996Обход авторизации через пользовательский ключ в репозитории GitHub emicklei/go-restful до версии v3.8.0.
CVE-2026-30924qui - это веб-интерфейс для управления qBittorr инстанций. Версии 1.14.1 и ниже используют разрешительную политику CORS, которая отражает произвольное происхождение, а также возвращает Access-Control-Allow-Creentials: true, эффективно позволяя любой внешней веб-странице делать аутентифицированные запросы от имени зарегистрированного пользователя. Злоумышленник может использовать это, обманывая жертву в загрузке вредоносной веб-страницы, которая бесшумно взаимодействует с приложением, используя сеанс жертвы и потенциально эксфильтруя конфиденциальные данные, такие как ключи API и учетные данные, или даже достижение полного компенсационного компенсация системы через встроенного менеджера внешних программ. Эксплуатация требует, чтобы жертва получила доступ к приложению через имя хоста, не связанную с локальхостом, и загрузила веб-страницу, контролируемую злоумышленником, что делает целенаправленные атаки социальной инженерии наиболее вероятным сценарием в реальном мире. Этот вопрос не был решен на момент публикации.
CVE-2026-33010mcp-memory-service - это бэкэнд памяти с открытым исходным кодом для мультиагентных систем. До версии 10.25.1, когда HTTP-сервер включен (MCP_HTTP_ENABLED=true), приложение настраивает программы FastAPI CORSMiddleware с разрешением_orgins=['*'], позволяйте_credentials=True, позволяйте_методы=["*"], и позволяйте_заголовки=["*"]. Подстановочный знак Access-Control-Allow-Origin: * заголовок позволяет любому веб-сайту читать ответы API поперечное число. В сочетании с анонимным доступом (MCP_ALLOW_ANONYMOUS_ACCESS=true) - самым простым способом заставить панель управления HTTP работать без OAuth - никаких учетных данных не требуется, поэтому любой вредоносный веб-сайт может молча читать, изменять и удалять все сохраненные воспоминания. Этот вопрос был исправлен в версии 10.25.1.
CVE-2024-41657Casdoor - это платформа управления идентификацией и доступом (IAM) / единого входа (SSO) с приоритетным пользовательским интерфейсом. В Casdoor 1.577.0 и более ранних версиях существует логическая уязвимость в beego filter CorsFilter, которая позволяет любому веб-сайту отправлять междоменные запросы к Casdoor от имени вошедшего в систему пользователя. Из-за логической ошибки при проверке только префикса при аутентификации заголовка Origin любой домен может создать действительный поддомен с действительным префиксом поддомена (например, localhost.example.com), что позволяет веб-сайту отправлять запросы к Casdoor от имени текущего вошедшего в систему пользователя.
CVE-2023-46281В Opcenter Execution Foundation (все версии < V2407), Opcenter Quality (все версии < V2312), SIMATIC PCS neo (все версии < V4.1), SINEC NMS (все версии < V2.0 SP1), Totally Integrated Automation Portal (TIA Portal) V14 (все версии), Totally Integrated Automation Portal (TIA Portal) V15.1 (все версии), Totally Integrated Automation Portal (TIA Portal) V16 (все версии), Totally Integrated Automation Portal (TIA Portal) V17 (все версии < V17 Update 8), Totally Integrated Automation Portal (TIA Portal) V18 (все версии < V18 Update 3) была обнаружена уязвимость. При доступе к UMC Web-UI из затронутых продуктов, UMC использует излишне разрешительную политику CORS. Это может позволить злоумышленнику обманом заставить законного пользователя вызвать нежелательное поведение.