IBM DB2 Recovery Expert для LUW 5.5 Interim Fix 002 может позволить удаленному злоумышленнику проводить фишинговые атаки, используя открыту…
IBM DB2 Recovery Expert для LUW 5.5 Interim Fix 002 может позволить удаленному злоумышленнику проводить фишинговые атаки, используя открытую атаку перенаправления. Убедив жертву посетить специально созданный веб-сайт, удаленный злоумышленник может использовать эту уязвимость, чтобы подменить отображаемый URL-адрес, чтобы перенаправить пользователя на вредоносный веб-сайт, которому, по-видимому, доверяют. Это может позволить злоумышленнику получить очень конфиденциальную информацию или провести дальнейшие нападения на жертву.
Веб-приложение принимает управляемые пользователем входные данные, задающие ссылку на внешний сайт, и использует её для перенаправления.
https://cwe.mitre.org/data/definitions/601.html →Открыть в коллекции CWE →Злоумышленник обманом вынуждает жертву выполнить Flash-документ, передающий команды или обращения к плагину Flash-плеера браузера, что позволяет злоумышленнику эксплуатировать встроенную функциональность Flash в браузере клиента. Данный шаблон атаки реализуется в случае, когда злоумышленник может предоставить специально сформированную ссылку на Flash-документ (SWF-файл), при переходе по которой будут выполнены дополнительные вредоносные инструкции. Злоумышленнику не требуется размещать Flash-документ или управлять им. Атака использует тот факт, что Flash-файлы могут ссылаться на внешние URL. Если переменные, служащие URL-адресами, на которые ссылается Flash-приложение, могут управляться через параметры, то, создав ссылку с определёнными значениями этих параметров, злоумышленник может добиться того, чтобы целевое Flash-приложение ссылалось на произвольное содержимое и, возможно, выполняло его.
https://capec.mitre.org/data/definitions/178.html →Открыть в коллекции CAPEC →