Отсутствие очистки вывода в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.10 (Vaadin с 10.0.…
Отсутствие очистки вывода в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.10 (Vaadin с 10.0.0 по 10.0.13) и с 1.1.0 по 1.4.2 (Vaadin с 11.0.0 по 13.0.5) позволяет злоумышленнику выполнять вредоносный JavaScript через специально созданный URL.
Продукт получает входные данные от вышестоящего компонента, но не нейтрализует или некорректно нейтрализует специальные символы, которые могут быть интерпретированы как элементы веб-скриптинга при отправке на страницу ошибки.
https://cwe.mitre.org/data/definitions/81.html →Открыть в коллекции CWE →Злоумышленник распространяет ссылку (или иную структуру запроса) с запросом к стороннему веб-серверу, который сформирован некорректно и также содержит блок эксплойт-кода, с тем чтобы эксплойт стал исполняемым кодом в результирующей странице ошибки.
https://capec.mitre.org/data/definitions/198.html →Открыть в коллекции CAPEC →