CWE-79 Существует уязвимость, связанная с неправильной нейтрализацией ввода во время создания веб-страницы («межсайтовый сценарий»), которая может привести к ситуации, когда прошедшие проверку подлинности злоумышленники могут заставить браузер жертвы запускать произвольный JavaScript, когда жертва наводит курсор на вредоносно созданный элемент на веб-сервере, содержащий внедренную полезную нагрузку.
Показать оригинальное описание (EN)
CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability exists that could cause condition where authenticated attackers can have a victim’s browser run arbitrary JavaScript when the victim hovers over a maliciously crafted element on a web server containing the injected payload.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0