Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-80
CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01615 | Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с непринятием мер по нейтрализации script-related тэгов, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-00125 | Уязвимость микропрограммного обеспечения программируемых логических контролеров Schneider Electric Modicon, связанная с недостатками нейтрализации специальных символов, позволяющая нарушителю инициировать процедуру смены пароля аутентифицированного п... |
| BDU:2019-04215 | Уязвимость веб-сервера программного обеспечения Spectrum Power, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-00571 | Уязвимость веб-сервера промышленных коммутаторов Siemens SCALANCE X-200, SCALANCE X-200IRT, SCALANCE X-300, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-00862 | Уязвимость реализации протокола WirelessHART шлюза IE/WSN-PA Link, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-02448 | Уязвимость микропрограммного обеспечения программируемого логического контроллера SIMATIC S7-1200, позволяющая нарушителю выполнить вредоносный JavaScript-код |
| BDU:2020-03952 | Уязвимость компонента Knowledge Management программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-03953 | Уязвимость компонента Knowledge Management программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-03984 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-03986 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-03987 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-05199 | Уязвимость веб-интерфейса программного средства совместной работы Cisco Webex Teams, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-05468 | Уязвимость пользовательского интерфейса программного обеспечения для веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2021-01023 | Уязвимость веб-интерфейса программного обеспечения веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2021-01348 | Уязвимость функции escape_javascript из javascript_helper.rb компонента ActionView программной платформы Ruby on Rails, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-02014 | Уязвимость программного обеспечения веб-конференцсвязи Cisco Webex Meetings, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2021-03490 | Уязвимость плагина rabbitmq_federation_management брокера сообщений RabbitMQ, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-04402 | Уязвимость консоли Admin Console сервера приложений Oracle WebLogic Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-02913 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-02966 | Уязвимость микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7 EEC, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2 EEC, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X308-2LD, SCALANCE X308-2LH, SCALANCE... |
| BDU:2022-03803 | Уязвимость программной платформы Java Runtime Environment, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2022-03974 | Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04035 | Уязвимость компонента /admin/conferences/list/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04036 | Уязвимость программного обеспечения TrueConf Server, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04037 | Уязвимость компонента /admin/conferences/get-all-status/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04038 | Уязвимость компонента /admin/group/list/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04547 | Уязвимость веб-интерфейса управления средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04990 | Уязвимость программно-аппаратного обеспечения Siemens, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-05610 | Уязвимость веб-интерфейса управления платформы Интернета вещей Cisco IoT Control Center, позволяющая нарушитель выполнить произвольный код или получить доступ к конфиденциальной информации |
| BDU:2023-00483 | Уязвимость компонента info.jsp микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2023-01776 | Уязвимость панели Trace View веб-инструмента представления данных Grafana, позволяющая нарушителю повысить свои привилегии и осуществить межсайтовые сценарные атаки |
| BDU:2023-02342 | Уязвимость централизованного решения идентификации и управления доступом FortiAuthenticator, связанная с непринятием мер по нейтрализации тэгов HTML, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2023-05597 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с недостатками используемых мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-08140 | Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и осуществить межсайтовые сценарные атаки |
| BDU:2023-08670 | Уязвимость функции server.transformIndexHtml() локального сервера разработки приложений Vite, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-00990 | Уязвимость компонента API PUT Request Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю выполнить произвольные запросы API PUT |
| BDU:2024-00993 | Уязвимость веб-интерфейса управления системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю пров... |
| BDU:2024-00994 | Уязвимость веб-интерфейса управления системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю выпо... |
| BDU:2024-02336 | Уязвимость параметра contentLink веб-приложения phpMyFAQ, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-02454 | Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных и реализовать межсайтовые сценарные атаки |
| BDU:2024-02507 | Уязвимость файла english.php программного обеспечения для электронной коммерции CE Phoenix (CE PhoenixCart), позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04258 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-05535 | Уязвимость средства аварийного восстановления виртуальной IT-инфраструктуры VMware Cloud Director Availability, связанная с недостатками нейтрализации специальных символов, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-05712 | Уязвимость фреймворка для обработки фоновых задач в веб-приложениях Sidekiq, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-05875 | Уязвимость системы создания и управления бизнес-приложениями Archer Platform, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05948 | Уязвимость компонента Dashboard панели управления программного средства для интеграции приложений IBM App Connect Enterprise, позволяющая нарушителю внедрить произвольный HTML-код |
| BDU:2024-08697 | Уязвимость веб-интерфейса управления микропрограммного обеспечения устройств IP-телефонии Cisco Analog Telephone Adapter (ATA) серии 190, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-08722 | Уязвимость плагина wpDiscuz системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-08799 | Уязвимость VPN-клиента микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-09324 | Уязвимость веб-портала Portal for ArcGIS, связанная с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2024-09719 | Уязвимость веб-интерфейса управления операционных систем Cisco AsyncOS устройств Cisco Secure Email and Web Manager, Secure Email Gateway и Secure Web Appliance, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-10054 | Уязвимость средства просмотра PDF-документов внутри страниц XWiki PDF Viewer Macro (Pro), связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-10838 | Уязвимость службы веб-клиента VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-10907 | Уязвимость модуля Summary компонента Workflow фреймворка сканирования уязвимостей Osmedeus, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01204 | Уязвимость системы мониторинга и управления процессами передачи файлов IBM Control Center, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю выполнить произвольный код или получить доступ к... |
| BDU:2025-01318 | Уязвимость системы контроля привилегированных пользователей SafeInspect, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-01818 | Уязвимость функции set_lang_CountryCode() сценария login.cgi микропрограммного обеспечения маршрутизаторов Wavlink AC3000 (WL-WN533A8), позволяющая нарушителю выполнить межсайтовые сценарные атаки и получить несанкционированный доступ к защищаемой ин... |
| BDU:2025-01871 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по нейтрализации html-тэгов, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-01874 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01875 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный JavaScript-код |
| BDU:2025-01885 | Уязвимость шаблона phpgacl/acl_admin.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01886 | Уязвимость шаблона phpgacl/assign_group.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01887 | Уязвимость шаблона phpgacl/acl_admin.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-02543 | Уязвимость платформы защищённого обмена данными MFlash, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02546 | Уязвимость платформы защищённого обмена данными MFlash, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-03187 | Уязвимость программного обеспечения SimpleOne Platform, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю внедрить HTML-тег |
| BDU:2025-03458 | Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность системы |
| BDU:2025-04152 | Уязвимость брокера сообщений RabbitMQ, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-04291 | Уязвимость графического интерфейса инструмента аналитики и управления безопасностью Fortinet FortiPortal, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04557 | Уязвимость PHP фреймворка Yii, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06213 | Уязвимость веб-интерфейса программного обеспечения для автоматизации выпуска приложений IBM UrbanCode Deploy (UCD), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06514 | Уязвимость приложения для обмена файлами IBM Aspera Faspex, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06522 | Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco Small Business SPA500 Series, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06621 | Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостатками используемых мер по защите структуры веб-страниц, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-06741 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-06815 | Уязвимость веб-интерфейса платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-06829 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить доступ к аккаунту пользователя |
| BDU:2025-09457 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с неверным управлением генерацией кода, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-09591 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и проводить межсайтовые сценарные атаки |
| BDU:2025-09712 | Уязвимость программного обеспечения для облачного резервного копирования и восстановления данных IBM Cloud Pak System, связанная связана с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-09843 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушите... |
| BDU:2025-10093 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2025-10647 | Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-10669 | Уязвимость интегрированной среды разработки программного обеспечения IntelliJ IDEA, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-10862 | Уязвимость PHP-библиотеки TCPDF, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2025-10945 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10947 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-13119 | Уязвимость системы рендеринга XWiki Rendering, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-15620 | Уязвимость сервиса для управления бизнесом Битрикс24, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять контроль над содержимым электронных писем |
| BDU:2025-15980 | Уязвимость расширений XWiki Platform Flamingo Skin Resources и XWiki Platform Web Templates платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-16116 | Уязвимость платформы управления рисками на предприятии IBM OpenPages, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2003-5003 | ISS BlackICE PC Protection Update cross site scriting |
| CVE-2008-10001 | Pro2col Stingray FTS cross site scriting |
| CVE-2014-2353 | Cogent DataHub XSS |
| CVE-2016-9493 | PHP forms generated using the PHP FormMail Generator are vulnerable to stored cross-site scripting |
| CVE-2016-9500 | The Accellion FTP server prior to version FTA_9_12_220 is vulnerable to informaiton exposure |
| CVE-2017-16015 | Forms is a library for easily creating HTML forms. Versions before 1.3.0 did not have proper html escaping. This means that i... |
| CVE-2017-16043 | Shout is an IRC client. Because the `/topic` command in messages is unescaped, attackers have the ability to inject HTML scri... |
| CVE-2017-20026 | HumHub Reflected cross site scriting |
| CVE-2017-20027 | HumHub DOM cross site scriting |
| CVE-2017-20033 | PHPList Reflected cross site scriting |
| CVE-2017-20034 | PHPList List Name Persistent cross site scriting |
| CVE-2017-20035 | PHPList Subscribe Persistent cross site scriting |
| CVE-2017-20036 | PHPList Bounce Rule Persistent cross site scriting |
| CVE-2017-20043 | Navetti PricePoint Persistent cross site scriting |
| CVE-2017-20044 | Navetti PricePoint Reflected cross site scriting |
| CVE-2017-20054 | XYZScripts Contact Form Manager Plugin cross site scriting |
| CVE-2017-20055 | BestWebSoft Contact Form Plugin Stored cross site scriting |
| CVE-2017-20056 | weblizar User Login Log Plugin Stored cross site scriting |
| CVE-2017-20057 | Elefant CMS Persistent cross site scriting |
| CVE-2017-20058 | Elefant CMS Version Comparison Persistent cross site scriting |
| CVE-2017-20059 | Elefant CMS Title Persistent cross site scriting |
| CVE-2017-20060 | Elefant CMS Blog Post Persistent cross site scriting |
| CVE-2017-20061 | Elefant CMS extended Reflected cross site scriting |
| CVE-2017-20085 | Atahualpa Theme cross site scriting |
| CVE-2017-20087 | Alpine PhotoTile for Instagram Plugin cross site scriting |
| CVE-2017-20089 | Gwolle Guestbook Plugin cross site scriting |
| CVE-2017-20092 | Google Analytics Dashboard Plugin cross site scriting |
| CVE-2017-20094 | NewStatPress Plugin Persistent cross site scriting |
| CVE-2017-20096 | WP-SpamFree Anti-Spam Plugin cross site scriting |
| CVE-2017-20097 | WP-Filebase Download Manager Plugin cross site scriting |
| CVE-2017-20098 | Admin Custom Login Plugin Persistent cross site scripting |
| CVE-2017-20100 | Air Transfer cross site scripting |
| CVE-2017-20108 | Easy Table Plugin options-general.php cross site scripting |
| CVE-2017-20113 | TrueConf Server Stored cross site scripting |
| CVE-2017-20114 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20115 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20116 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20117 | TrueConf Server group DOM cross site scripting |
| CVE-2017-20118 | TrueConf Server DOM cross site scripting |
| CVE-2017-20122 | Bitrix Site Manager Contact Form cross site scripting |
| CVE-2017-20140 | Itech Movie Portal Script movie.php Reflected cross site scripting |
| CVE-2018-16555 | A vulnerability has been identified in SCALANCE S602 (All versions < V4.0.1.1), SCALANCE S612 (All versions < V4.0.1.1), SCAL... |
| CVE-2018-19942 | Cross-site Scripting Vulnerability in File Station |
| CVE-2018-19943 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. QNAP has already... |
| CVE-2018-19951 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. This issue affec... |
| CVE-2018-19952 | If exploited, this SQL injection vulnerability could allow remote attackers to obtain application information. This issue aff... |
| CVE-2018-19953 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. QNAP has already... |
| CVE-2018-19954 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-19955 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-19956 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-25034 | Thomson TCW710 wlanPrimaryNetwork Persistent cross site scripting |
| CVE-2018-25035 | Thomson TCW710 RGFirewallEL Persistent cross site scriting |
| CVE-2018-25036 | Thomson TCW710 RgTime Persistent cross site scriting |
| CVE-2018-25037 | Thomson TCW710 RgDdns Persistent cross site scriting |
| CVE-2018-25038 | Thomson TCW710 RgDhcp Persistent cross site scriting |
| CVE-2018-25039 | Thomson TCW710 RgUrlBlock.asp Persistent cross site scriting |
| CVE-2018-4848 | A vulnerability has been identified in SCALANCE X-200 switch family (incl. SIPLUS NET variants) (All versions < V5.2.3), SCAL... |
| CVE-2019-1010018 | Zammad GmbH Zammad 2.3.0 and earlier is affected by: Cross Site Scripting (XSS) - CWE-80. The impact is: Execute java script... |
| CVE-2019-10933 | A vulnerability has been identified in Spectrum Power 3 (Corporate User Interface) (All versions <= v3.11), Spectrum Power 4... |
| CVE-2019-13923 | A vulnerability has been identified in IE/WSN-PA Link WirelessHART Gateway (All versions). The integrated configuration web s... |
| CVE-2019-13931 | A vulnerability has been identified in XHQ (All versions < V6.0.0.2). The web interface could allow for an an attacker to cra... |
| CVE-2019-18944 | Micro Focus Solutions Business Manager Application Repository versions prior to 11.7.1 are vulnerable to reflected XSS. |
| CVE-2019-19285 | A vulnerability has been identified in XHQ (All Versions < 6.1). The web interface could allow injections that could lead to... |
| CVE-2019-25028 | Stored cross-site scripting in Grid component in Vaadin 7 and 8 |
| CVE-2019-25070 | WolfCMS User Add cross site scripting |
| CVE-2019-5450 | Improper sanitization of HTML in directory names in the Nextcloud Android app prior to version 3.7.0 allowed to style the dir... |
| CVE-2019-6577 | A vulnerability has been identified in SIMATIC HMI Comfort Panels 4" - 22" (All versions < V15.1 Update 1), SIMATIC HMI Comfo... |
| CVE-2019-6585 | A vulnerability has been identified in SCALANCE S602 (All versions >= V3.0 and < V4.1), SCALANCE S612 (All versions >= V3.0 a... |
| CVE-2020-10043 | A vulnerability has been identified in SICAM MMU (All versions < V2.05), SICAM SGU (All versions), SICAM T (All versions < V2... |
| CVE-2020-11001 | Possible XSS attack in Wagtail |
| CVE-2020-13562 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-13563 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-13564 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-15788 | A vulnerability has been identified in Polarion Subversion Webclient (All versions). The Polarion subversion web application... |
| CVE-2020-2491 | Cross-site Scripting Vulnerability in Photo Station |
| CVE-2020-2493 | Cross-site Scripting Vulnerability in Multimedia Console |
| CVE-2020-2494 | Cross-site Scripting Vulnerability in Music Station |
| CVE-2020-2495 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2496 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2497 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2498 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2502 | Cross-site Scripting Vulnerability in Photo Station |
| CVE-2020-2503 | Stored cross-site scripting vulnerability in QES |
| CVE-2020-26067 | Cisco Webex Teams Web Interface Cross-Site Scripting Vulnerability |
| CVE-2020-26218 | HTML Injection in touchbase.ai |
| CVE-2020-27126 | Cisco Webex Meetings API Cross-Site Scripting Vulnerability |
| CVE-2020-36196 | Stored XSS Vulnerability in QuLog Center |
| CVE-2020-36544 | SialWeb CMS Search cross site scriting |
| CVE-2020-4046 | Authenticated XSS through embed block in WordPress |
| CVE-2020-4047 | Authenticated XSS via media attachment page in WordPress |
| CVE-2020-4049 | Authenticated self-XSS via theme uploads in WordPress |
| CVE-2020-5241 | XSS/Script injection vulnerability in matestack |
| CVE-2020-5267 | Possible XSS vulnerability in ActionView |
| CVE-2020-5283 | XSS vulnerability in CVS show_subdir_lastmod support |
| CVE-2020-7575 | A vulnerability has been identified in Climatix POL908 (BACnet/IP module) (All versions), Climatix POL909 (AWM module) (All v... |
| CVE-2020-7579 | A vulnerability has been identified in Spectrum Power™ 5 (All versions < v5.50 HF02). The web server could allow Cross-Site S... |
| CVE-2020-8966 | Cross Site Scripting (XSS) flaws found in Tiki-Wiki CMS software |
| CVE-2021-1351 | Cisco Webex Meetings Cross-Site Scripting Vulnerability |
| CVE-2021-1420 | Cisco Webex Meetings HTML Injection Vulnerability |
| CVE-2021-27915 | XSS Cross-site Scripting Stored (XSS) - Description field |
| CVE-2021-28803 | Stored XSS Vulnerability in Q'center |
| CVE-2021-29438 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in @nextcloud/dialogs |
| CVE-2021-29467 | Self-XSS |
| CVE-2021-29503 | Improper Neutralization of Script-Related HTML Tags in Notes |
| CVE-2021-32718 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in RabbitMQ management UI |
| CVE-2021-32719 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in RabbitMQ federation management plugin |
| CVE-2021-32735 | Cross-site scripting (XSS) from field and configuration text displayed in the Panel |
| CVE-2021-37195 | A vulnerability has been identified in COMOS V10.2 (All versions only if web components are used), COMOS V10.3 (All versions... |
| CVE-2021-39348 | LearnPress – WordPress LMS Plugin <= 4.1.3.1 Authenticated Stored Cross-Site Scripting |
| CVE-2021-4227 | Ark Comment Editor <= 2.15.6 - Iframe Injection via Comment |
| CVE-2021-43862 | Self XSS on user input |
| CVE-2021-44196 | XSS in UBIT Information Technologies Student Information Management System |
| CVE-2021-44197 | XSS in UBIT Information Technologies Student Information Management System |
| CVE-2022-0989 | NS WooCommerce Watermark <= 2.11.3 - Abuse of Functionality |
| CVE-2022-1002 | HTML Injection while inviting Guests |
| CVE-2022-1274 | A flaw was found in Keycloak in the execute-actions-email endpoint. This issue allows arbitrary HTML to be injected into emai... |
| CVE-2022-1293 | XSS vulnerability in Citadel |
| CVE-2022-20654 | Cisco Webex Meetings Cross-Site Scripting Vulnerability |
| CVE-2022-20740 | Cisco Firepower Management Center Software Cross-Site Scripting Vulnerability |
| CVE-2022-20765 | Cisco UCS Director JavaScript Cross-Site Scripting Vulnerability |
| CVE-2022-20916 | Cisco IoT Control Center Cross-Site Scripting Vulnerability |
| CVE-2022-21145 | A stored cross-site scripting vulnerability exists in the WebUserActions.aspx functionality of Lansweeper lansweeper 9.1.20.2... |
| CVE-2022-21238 | A cross-site scripting (xss) vulnerability exists in the info.jsp functionality of InHand Networks InRouter302 V3.5.4. A spec... |
| CVE-2022-23543 | HTML attributes when attaching a YouTube link to the post |
| CVE-2022-24749 | Basic Cross-site Scripting and Unrestricted Upload of File with Dangerous Type in Sylius |
| CVE-2022-25620 | Stored Cross-Site Scripting (XSS) |
| CVE-2022-25756 | A vulnerability has been identified in SCALANCE X302-7 EEC (230V), SCALANCE X302-7 EEC (230V, coated), SCALANCE X302-7 EEC (2... |
| CVE-2022-28648 | In JetBrains YouTrack before 2022.1.43563 HTML code from the issue description was being rendered |
| CVE-2022-28703 | A stored cross-site scripting vulnerability exists in the HdConfigActions.aspx altertextlanguages functionality of Lansweeper... |
| CVE-2022-29168 | Cross Site Scripting in Wire Messages |
| CVE-2022-29251 | Cross-site Scripting in the Flamingo theme manager |
| CVE-2022-29252 | Cross-site Scripting in XWiki Platform Wiki UI Main Wiki |
| CVE-2022-29258 | Cross-site Scripting in Filter Stream Converter Application in XWiki Platform |
| CVE-2022-35278 | HTML Injection in ActiveMQ Artemis Web Console |
| CVE-2022-35850 | An improper neutralization of script-related HTML tags in a web page vulnerability [CWE-80] in FortiAuthenticator versions 6.... |
| CVE-2022-36057 | Discourse-Chat Cross-Site Scripting issue for channel names and descriptions |
| CVE-2022-36094 | XWiki Platform Web Parent POM vulnerable to XSS in the attachment history |
| CVE-2022-36096 | XWiki Platform vulnerable to Cross-site Scripting in the deleted attachments list |
| CVE-2022-36097 | XWiki Platform Attachment UI vulnerable to cross-site scripting in the move attachment form |
| CVE-2022-36325 | Affected devices do not properly sanitize data introduced by an user when rendering the web interface. This could allow an au... |
| CVE-2022-38055 | WordPress wpForo Forum plugin <= 2.0.9 - Auth. HTML Injection vulnerability |
| CVE-2022-38210 | HTML injection in accountswitcher-callback.html (10.9.1, 10.8.1 and 10.7.1 only) |
| CVE-2022-3844 | Webmin index.cgi cross site scripting |
| CVE-2022-39240 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in MyGraph |
| CVE-2022-39277 | Cross-Site Scripting (XSS) in external links in GLPI |
| CVE-2022-39301 | sra-admin is vulnerable to storage cross-site scripting (XSS) via unrestricted file upload |
| CVE-2022-39348 | Twisted vulnerable to NameVirtualHost Host header injection |
| CVE-2022-39371 | Stored Cross-Site Scripting (XSS) through asset inventory in GLPI |
| CVE-2022-39372 | Stored Cross-Site Scripting (XSS) in user information in GLPI |
| CVE-2022-46350 | A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions <... |
| CVE-2022-4953 | Elementor < 3.5.5 - Iframe Injection |
| CVE-2023-0007 | PAN-OS: Stored Cross-Site Scripting (XSS) Vulnerability in the Panorama Web Interface |
| CVE-2023-1013 | XSS in Vira-Investing |
| CVE-2023-1384 | The setMediaSource function on the amzn.thin.pl service does not sanitize the "source" parameter allowing for arbitrary javas... |
| CVE-2023-20179 | A vulnerability in the web-based management interface of Cisco Catalyst SD-WAN Manager, formerly Cisco SD-WAN vManage, could... |
| CVE-2023-20181 | A vulnerability in the web-based management interface of Cisco Small Business SPA500 Series IP Phones could allow an unauthen... |
| CVE-2023-20218 | A vulnerability in web-based management interface of Cisco SPA500 Series Analog Telephone Adapters (ATAs) could allow an auth... |
| CVE-2023-20222 | A vulnerability in the web-based management interface of Cisco Prime Infrastructure and Cisco Evolved Programmable Network Ma... |
| CVE-2023-20228 | A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) could allow an unauthen... |
| CVE-2023-20257 | A vulnerability in the web-based management interface of Cisco Prime Infrastructure could allow an authenticated, remote atta... |
| CVE-2023-22309 | Reflected Cross Site Scripting (XSS) |
| CVE-2023-22461 | sanitize-svg Filter Bypass Allows Cross-Site Scripting (XSS) |
| CVE-2023-22464 | ViewVC XSS vulnerability in revision view changed path "copyfrom" locations |
| CVE-2023-23548 | XSS in business intelligence |
| CVE-2023-23735 | WordPress Spectra – WordPress Gutenberg Blocks plugin <= 2.3.0 - Unauthenticated Email HTML Injection Vulnerability |
| CVE-2023-24496 | Cross-site scripting (xss) vulnerabilities exist in the requestHandlers.js detail_device functionality of Milesight VPN v2.0.... |
| CVE-2023-24497 | Cross-site scripting (xss) vulnerabilities exist in the requestHandlers.js detail_device functionality of Milesight VPN v2.0.... |
| CVE-2023-25833 | BUG-000155004 HTML injection issue in Portal for ArcGIS. |
| CVE-2023-26046 | teler-waf subject to bypass of common web attack threat rule with HTML entities payload |
| CVE-2023-26047 | teler-waf contains detection rule bypass via entities payload |
| CVE-2023-28851 | Silverstripe Form Capture vulnerable to Stored Cross-Site Scripting |
| CVE-2023-29110 | Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard) |
| CVE-2023-29112 | Code Injection vulnerability in SAP Application Interface Framework (Message Monitoring) |
| CVE-2023-29508 | org.xwiki.platform:xwiki-platform-livedata-macro vulnerable to Cross-site Scripting |
| CVE-2023-2981 | Abstrium Pydio Cells Chat cross site scripting |
| CVE-2023-3017 | SourceCodester Lost and Found Information System Manage User Page cross site scripting |
| CVE-2023-30615 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in iris-web |
| CVE-2023-32192 | Rancher API Server Cross-site Scripting Vulnerability |
| CVE-2023-32193 | Norman API Cross-site Scripting Vulnerability |
| CVE-2023-33194 | CraftCMS stored XSS in Quick Post widget error message |
| CVE-2023-33196 | Craft CMS stored XSS in review volume |
| CVE-2023-33197 | Craft CMS stored XSS in indexedVolumes |
| CVE-2023-34354 | A stored cross-site scripting (XSS) vulnerability exists in the upload_brand.cgi functionality of peplink Surf SOHO HW1 v6.3.... |
| CVE-2023-3481 | XSS in Chrome Lab Critters |
| CVE-2023-35006 | IBM Security ReaQta HTML injection |
| CVE-2023-35153 | XWiki Platform vulnerable to stored cross-site scripting in ClassEditSheet page via name parameters |
| CVE-2023-35157 | XWiki Platform vulnerable to reflected cross-site scripting via delattachment action |
| CVE-2023-36555 | An improper neutralization of script-related html tags in a web page (basic xss) in Fortinet FortiOS 7.2.0 - 7.2.4 allows an... |
| CVE-2023-38007 | IBM Cloud Pak System HTML injection |
| CVE-2023-39161 | WordPress Discussion Board plugin <= 2.4.8 - Content Injection vulnerability |
| CVE-2023-39216 | Improper input validation in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user to enable an esc... |
| CVE-2023-39217 | Improper input validation in Zoom SDK’s before 5.14.10 may allow an unauthenticated user to enable a denial of service via ne... |
| CVE-2023-3971 | Controller: html injection in custom login info |
| CVE-2023-40557 | WordPress Tabs & Accordion plugin <= 1.3.10 - Content Injection vulnerability |
| CVE-2023-41048 | plone.namedfile vulnerable to Stored Cross Site Scripting with SVG images |
| CVE-2023-4109 | Ninja Forms < 3.6.26 - Admin+ Stored HTML Injection |
| CVE-2023-42458 | Zope vulnerable to Stored Cross Site Scripting with SVG images |
| CVE-2023-43790 | iTop vulnerable to XSS in friendlyname in object details |
| CVE-2023-44393 | Piwigo Reflected XSS vulnerability |
| CVE-2023-44396 | iTop vulnerable to XSS in dashlet modifications ajax endpoints |
| CVE-2023-45053 | WordPress WP Content Pilot plugin <= 1.3.3 - HTML Injection vulnerability |
| CVE-2023-45635 | WordPress Responsive Tabs plugin < 4.0.6 - HTML Content Injection vulnerability |
| CVE-2023-46235 | FOG stored XSS on log screen via unsanitized request logging |
| CVE-2023-46310 | WordPress wpDiscuz plugin <= 7.6.10 - Content Injection vulnerability |
| CVE-2023-4663 | XSS in Saphira Connect |
| CVE-2023-46722 | Pimcore Admin Classic Bundle Cross-site Scripting (XSS) in PDF previews |
| CVE-2023-47513 | WordPress ARI Stream Quiz – WordPress Quizzes Builder plugin <= 1.3.2 - Content Injection vulnerability |
| CVE-2023-47663 | WordPress Foyer plugin <= 1.7.5 - Content Injection vulnerability |
| CVE-2023-47869 | WordPress wpForo plugin <= 2.2.5 - Broken Access Control + CSRF vulnerability |
| CVE-2023-48285 | WordPress Accept Stripe Payments plugin <= 2.0.79 - Content Injection vulnerability |
| CVE-2023-48763 | WordPress JetFormBuilder plugin <= 3.1.4 - Content Injection vulnerability |
| CVE-2023-49852 | WordPress Responsive Slick Slider WordPress plugin <= 1.4 - Content Injection vulnerability |
| CVE-2023-5582 | ZZZCMS Personal Profile Page cross site scripting |
| CVE-2023-5933 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in GitLab |
| CVE-2024-0183 | RRJ Nueva Ecija Engineer Online Portal NIA Office students.php cross site scripting |
| CVE-2024-10038 | WP-Strava <= 2.12.1 - Authenticated (Administrator+) Stored Cross-Site Scripting |
| CVE-2024-10592 | Mapster WP Maps <= 1.6.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2024-10621 | Simple Shortcode for Google Maps <= 1.5.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2024-11404 | File Upload Bypass in django Filer |
| CVE-2024-11479 | Authenticated HTML Injection in Issuetrak Ticket Comment Function |
| CVE-2024-11954 | Pimcore Search Document cross site scripting |
| CVE-2024-12127 | Learning Management System, eLearning, Course Builder, WordPress LMS Plugin – Sikshya LMS <= 0.0.21 - Reflected Cross-Site Sc... |
| CVE-2024-13497 | WordPress form builder plugin for contact forms, surveys and quizzes – Tripetto <= 8.0.9 - Unauthenticated Stored Cross-Site... |
| CVE-2024-13704 | Super Testimonials <= 4.0.1 - Unauthenticated Stored Cross-Site Scripting |
| CVE-2024-1606 | HTML injection in BMC Control-M |
| CVE-2024-2010 | Reflected XSS in TE Informatics' V5 Software |
| CVE-2024-20341 | Cisco Adaptive Security Appliance WebVPN Cross-Site Scripting Vulnerability |
| CVE-2024-20362 | A vulnerability in the web-based management interface of Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 R... |
| CVE-2024-20382 | A vulnerability in the VPN web client services feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepowe... |
| CVE-2024-20460 | Cisco ATA 190 Series Analog Telephone Adapter Firmware Reflected Cross-Site Scripting Vulnerability |
| CVE-2024-20504 | Cisco Secure Email and Web Manager, Secure Email Gateway, and Secure Web Appliance Stored Cross-Site Scripting Vulnerabilitie... |
| CVE-2024-23522 | WordPress Formidable Forms plugin <= 6.7 - Content Injection vulnerability |
| CVE-2024-2380 | XSS in graph rendering |
| CVE-2024-23817 | Dolibarr Application Home Page HTML injection vulnerability |
| CVE-2024-23841 | XSS in @apollo/experimental-nextjs-app-support |
| CVE-2024-24571 | facileManager Systemic Cross-Site Scripting (XSS) |
| CVE-2024-24574 | phpMyFAQ vulnerable to stored XSS on attachments filename |
| CVE-2024-24807 | Sulu is vulnerable to HTML Injection via Autocomplete Suggestion |
| CVE-2024-24812 | Frappe Authenticated Reflected Cross site scripting (XSS) in portal pages |
| CVE-2024-24874 | WordPress Polls CP plugin <= 1.0.71 - Content Injection vulnerability |
| CVE-2024-25639 | Prompt Injection triggered XSS vulnerability in Khoj Obsidian, Desktop and Web clients |
| CVE-2024-25690 | HTML injection in ArcGIS Web AppBuilder |
| CVE-2024-27306 | aiohttp vulnerable to XSS on index pages for static file handling |
| CVE-2024-28108 | phpMyFAQ Stored HTML Injection at contentLink |
| CVE-2024-28831 | XSS in confirmation pop-up |
| CVE-2024-28832 | XSS in Crash Report Page |
| CVE-2024-32464 | ActionText ContentAttachment can Contain Unsanitized HTML |
| CVE-2024-32472 | excalidraw vulnerable to a Stored XSS in excalidraw's web embed component |
| CVE-2024-32484 | An reflected XSS vulnerability exists in the handling of invalid paths in the Flask server in Ankitects Anki 24.04. A special... |
| CVE-2024-32790 | WordPress Pricing Table by Supsystic plugin <= 1.9.12 - Content Injection vulnerability |
| CVE-2024-32875 | Hugo doesn't escape markdown title in internal render hooks |
| CVE-2024-32966 | Stored Cross-site Scripting in directory listings via file names in static-web-server |
| CVE-2024-34070 | Froxlor Vulnerable to Blind XSS Leading to Froxlor Application Compromise |
| CVE-2024-34699 | GZ::CTF allows unprivileged user can perform XSS attacks by constructing malicious team names. |
| CVE-2024-35112 | IBM Control Center cross-site scripting |
| CVE-2024-35224 | Stored Cross-Site Scripting (XSS) in OpenProject |
| CVE-2024-36395 | Verint - CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-37156 | TokenController formName not sanitized in hidden input |
| CVE-2024-37166 | ghtml Cross-Site Scripting (XSS) vulnerability |
| CVE-2024-37297 | WooCommerce has a Cross-Site Scripting Vulnerability in checkout & registration forms |
| CVE-2024-38039 | BUG-000161683 - HTML injection vulnerability in Portal for ArcGIS. |
| CVE-2024-38318 | IBM Aspera Shares HTML injection |
| CVE-2024-38859 | XSS in view page with SLA column |
| CVE-2024-39363 | A cross-site scripting (xss) vulnerability exists in the login.cgi set_lang_CountryCode() functionality of Wavlink AC3000 M33... |
| CVE-2024-41693 | Mashov - CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-41697 | Priority – CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-41752 | IBM Cognos Analytics HTML injection |
| CVE-2024-41810 | HTML injection in HTTP redirect body |
| CVE-2024-41947 | XWiki Platform XSS through conflict resolution |
| CVE-2024-4214 | WordPress cardealer plugin <= 4.15 - Content Injection vulnerability |
| CVE-2024-42195 | HCL DevOps Deploy / HCL Launch is vulnerable to HTML injection |
| CVE-2024-44061 | WordPress EU/UK VAT Manager for WooCommerce plugin <= 2.12.14 - CSRF to Cross Site Scripting (XSS) vulnerability |
| CVE-2024-45406 | Craft CMS stored XSS in breadcrumb list and title fields |
| CVE-2024-46910 | Apache Atlas: An authenticated user can perform XSS and potentially impersonate another user |
| CVE-2024-47139 | F5 BIG-IQ Vulnerability |
| CVE-2024-47536 | starcitizentools/citizen-skin vulnerable to stored, self-XSS in the "real name" field |
| CVE-2024-47612 | XSS in Special:DataDump when displaying dump status |
| CVE-2024-47765 | Minecraft MOTD Parser's HtmlGenerator vulnerable to XSS |
| CVE-2024-47782 | Cross-site Scripting (XSS) in Special:WikiDiscover when displaying wiki information in WikiDiscover |
| CVE-2024-47812 | Cross-site Scripting (XSS) on Special:RequestImportQueue when displaying request date in ImportDump |
| CVE-2024-47815 | Cross-site Scripting in IncidentReporting |
| CVE-2024-49337 | IBM OpenPages HTML injection |
| CVE-2024-49343 | IBM Informix Dynamic Server HTML injection |
| CVE-2024-49377 | Jinja2 Templates are vulnerable to XSS attacks due to their configuration in OctoPrint |
| CVE-2024-50344 | I, Librarian has a Stored XSS vulnerability in Supplemental Files |
| CVE-2024-51472 | IBM DevOps Deploy / IBM UrbanCode Deploy HTML injection |
| CVE-2024-51475 | IBM Content Navigator HTML injection |
| CVE-2024-51735 | Stored Cross-site Scripting to RCE on Osmedeus Web Server |
| CVE-2024-52300 | macro-pdfviewer has a XSS through the width parameter |
| CVE-2024-52597 | 2FAuth vulnerable to stored cross-site scripting via SVG upload and direct access render |
| CVE-2024-52598 | 2FAuth vulnerable to Server Side Request Forgery + URI validation bypass in 2fauth /api/v1/twofaccounts/preview |
| CVE-2024-52967 | An improper neutralization of script-related html tags in a web page (basic xss) in Fortinet FortiPortal 6.0.0 through 6.0.14... |
| CVE-2024-54001 | Kanboard allows a persistent HTML injection site scripting in settings page date format |
| CVE-2024-54128 | Directus has an HTML Injection in Comment |
| CVE-2024-54223 | WordPress ARForms plugin <= 1.7.1 - HTML Injection vulnerability |
| CVE-2024-56199 | phpMyFAQ Vulnerable to Stored HTML Injection at FAQ |
| CVE-2024-5741 | XSS in inventory view |
| CVE-2024-5851 | playSMS SMS Schedule cross site scripting |
| CVE-2024-6052 | XSS in SQL check parameters |
| CVE-2024-6108 | Genexis Tilgin Home Gateway Login cross site scripting |
| CVE-2024-6183 | EZ-Suite EZ-Partner Forgot Password cross site scripting |
| CVE-2024-6251 | playSMS New Phonebook cross site scripting |
| CVE-2024-7629 | Responsive Video <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2024-8145 | ClassCMS Article admin cross site scripting |
| CVE-2024-8680 | MailChimp for Wordpress <= 4.9.16 - Authenticated (Administrator+) Stored Cross-Site Scripting |
| CVE-2024-8872 | Store Hours for WooCommerce <= 4.3.20 - Reflected Cross-Site Scripting |
| CVE-2024-8981 | Broken Link Checker <= 2.4.0 - Reflected Cross-Site Scripting |
| CVE-2024-9147 | HTML Injection in Bna Informatics' PosPratik |
| CVE-2024-9438 | SEUR Oficial <= 2.2.11 - Reflected Cross-Site Scripting |
| CVE-2025-0272 | HCL DevOps Deploy / HCL Launch is susceptible to an HTML injection vulnerability |
| CVE-2025-0276 | HCL BigFix Modern Client Management (MCM) is affected by an insecure Content Security Policy (CSP) |
| CVE-2025-0277 | HCL BigFix Mobile is affected by an insecure Content Security Policy (CSP) |
| CVE-2025-10125 | Memberlite Shortcodes <= 1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-10128 | Eulerpool Research Systems <= 4.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-10496 | Cookie Notice & Consent <= 1.6.5 - Unauthenticated Stored Cross-Site Scripting |
| CVE-2025-11160 | WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via Custom JS Module |
| CVE-2025-11161 | WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via vc_custom_heading Shortcode |
| CVE-2025-11241 | Yoast SEO Premium 25.7-25.9 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-11745 | Ad Inserter <= 2.8.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom Field |
| CVE-2025-11823 | ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution <= 3.2.4 - Authenticated (Contri... |
| CVE-2025-11874 | Slippy Slider – Responsive Touch Navigation Slider <= 2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-11966 | In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], when "directory listing" is enabled, file and directory names... |
| CVE-2025-11987 | Visual Link Preview <= 2.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via visual-link-preview Shortcode |
| CVE-2025-11992 | Multi Item Responsive Slider <= 1.0 - Cross-Site Request Forgery to Stored Cross-Site Scripting |
| CVE-2025-12753 | Chart Expert <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2025-13178 | Bdtask/CodeCanyon SalesERP User Profile edit_profile cross site scripting |
| CVE-2025-13180 | Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System edit_profile cross site scripting |
| CVE-2025-1807 | Eastnets PaymentSafe Edit Manual Reply directRouter.rfc cross site scripting |
| CVE-2025-1997 | IBM UrbanCode Deploy (UCD) / IBM DevOps Deploy HTML injection |
| CVE-2025-20267 | Cisco Identity Services Stored Cross-Site Scripting Vulnerability |
| CVE-2025-20331 | Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerabiliy |
| CVE-2025-20342 | Cisco Integrated Management Controller Virtual Keyboard Video Monitor (vKVM) Stored Cross-Site Scripting Vulnerability |
| CVE-2025-21612 | Cross-site Scripting in TabberTransclude in Extension:TabberNeue |
| CVE-2025-22274 | HTML injection in CyberArk Endpoint Privilege Manager |
| CVE-2025-22402 | Dell Update Manager Plugin, version(s) 1.5.0 through 1.6.0, contain(s) an Improper Neutralization of Script-Related HTML Tags... |
| CVE-2025-22501 | WordPress Improve My City plugin <= 1.6 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-23392 | Reflected XSS in SystemsController.java in spacewalk-java |
| CVE-2025-23393 | Reflected XSS in spacewalk-java |
| CVE-2025-23919 | WordPress Slides & Presentations Plugin <= 0.0.39 - Content Injection vulnerability |
| CVE-2025-24673 | WordPress Ketchup Shortcodes Plugin <= 0.1.2 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-24678 | WordPress Listamester Plugin <= 2.3.4 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-24680 | WordPress WP Multi Store Locator Plugin <= 2.4.7 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-25299 | Cross-site scripting (XSS) in the real-time collaboration package |
| CVE-2025-27099 | Tuleap allows XSS via the tracker names used in the semantic timeframe deletion message |
| CVE-2025-27155 | In-memory stored Cross-site scripting (XSS) vulnerability in pineconesim |
| CVE-2025-27358 | WordPress Frontend File Manager plugin <= 23.2 - Content Injection Vulnerability |
| CVE-2025-27514 | GLPI is susceptible to Stored XSS attack through project's kanban |
| CVE-2025-2895 | IBM Cloud Pak System HTML injection |
| CVE-2025-30161 | OpenEMR Stored XSS in OpenEMR Bronchitis Form |
| CVE-2025-30210 | Bruno XSS On Environment Name |
| CVE-2025-30676 | Apache OFBiz: Stored XSS Vulnerability |
| CVE-2025-31075 | WordPress MicroPayments plugin <= 2.9.29 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31326 | HTML Injection vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence) |
| CVE-2025-31384 | WordPress Videos plugin <= 1.0.5 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31465 | WordPress Better Section Navigation Widget <= 1.6.1 - Cross Site Scripting (XSS) Vulnerability |
| CVE-2025-31575 | WordPress Flag Icons plugin <= 2.2 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31604 | WordPress Cal.com plugin <= 1.0.0 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31992 | HCL MaxAI Assistant is susceptible to a HTML injection vulnerability |
| CVE-2025-32027 | Yii does not prevent XSS in scenarios where fallback error renderer is used |
| CVE-2025-32230 | WordPress Tutor LMS plugin <= 3.4.0 - HTML Injection vulnerability |
| CVE-2025-33110 | IBM OpenPages Vulnerable to HTML Injection |
| CVE-2025-33138 | IBM Aspera Faspex HTML injection |
| CVE-2025-3521 | Team Members – Best WordPress Team Plugin with Team Slider, Team Showcase & Team Builder <= 3.4.0 - Authenticated (Contributo... |
| CVE-2025-36121 | HTML Injection Vulnerability in a Specific URL Endpoint of the IBM OpenPages Application |
| CVE-2025-39524 | WordPress Html5 Audio Player <= 2.2.28 - Cross Site Scripting (XSS) Vulnerability |
| CVE-2025-39663 | Cross Site Scripting through compromised remote site |
| CVE-2025-4126 | EG-Series <= 2.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2025-4168 | Subpage List <= 1.3.3 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-4278 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in GitLab |
| CVE-2025-4367 | Download Manager <= 3.3.18 - Authenticated (Author+) Stored Cross-site Scripting via wpdm_user_dashboard Shortcode |
| CVE-2025-48884 | Galette is vulnerable to XSS through Document Type |
| CVE-2025-49137 | Hax CMS Stored Cross-Site Scripting vulnerability |
| CVE-2025-49398 | WordPress Easy Appointments plugin <= 3.12.14 - Content Injection vulnerability |
| CVE-2025-52654 | HCL MyXalytics is affected by an HTML Injection |
| CVE-2025-52897 | GLPI is vulnerable to XSS and open redirection attacks through planning feature |
| CVE-2025-52902 | File Browser has Stored Cross-Site Scripting vulnerability |
| CVE-2025-53093 | TabberNeue vulnerable to Stored XSS through wikitext |
| CVE-2025-53835 | XWiki Rendering is vulnerable to XSS attacks through insecure XHTML syntax |
| CVE-2025-53883 | spacewalk-java has various XSS issues on search page |
| CVE-2025-54057 | Apache SkyWalking: Stored XSS vulnerability |
| CVE-2025-54117 | NamelessMC allows Stored Cross-Site Scripting (XSS) in dashboard text editor |
| CVE-2025-54414 | Anubis accepts crafted redirect URLs in pass-challenge 'Try Again' buttons |
| CVE-2025-54421 | NamelessMC allows Stored Cross Site Scripting (XSS) in SEO component |
| CVE-2025-54589 | copyparty Reflected XSS via Filter Parameter |
| CVE-2025-54698 | WordPress Classified Listing Plugin plugin <= 5.0.0 - Content Injection Vulnerability |
| CVE-2025-54789 | Files is Vulnerable to Reflected Self-XSS through its File Move Functionality |
| CVE-2025-55291 | Shaarli allows reflected XSS via searchtags parameter |
| CVE-2025-55672 | Apache Superset: Stored XSS on charts metadata |
| CVE-2025-5686 | Paged Gallery <= 0.7 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-57928 | WordPress AWP Classifieds Plugin <= 4.3.5 - Content Injection Vulnerability |
| CVE-2025-58054 | Discourse is vulnerable to XSS when quoting chat messages |
| CVE-2025-58412 | A improper neutralization of script-related html tags in a web page (basic xss) vulnerability in Fortinet FortiADC 8.0.0, For... |
| CVE-2025-58430 | listmonk Vulnerable to CSRF to XSS Chain That Can Lead to Admin Account Takeover |
| CVE-2025-58970 | WordPress Doctreat theme <= 1.6.7 - Content Injection vulnerability |
| CVE-2025-59573 | WordPress Cozy Blocks Plugin <= 2.1.29 - Content Injection Vulnerability |
| CVE-2025-60100 | WordPress XStore Theme <= 9.5.3 - Content Injection Vulnerability |
| CVE-2025-60244 | WordPress TableOn plugin <= 1.0.4.2 - Content Injection vulnerability |
| CVE-2025-61583 | TS3 Manager is vulnerable to unauthenticated reflected XSS attack due to insecure error handling |
| CVE-2025-62172 | Home Assistant vulnerable to Stored XSS in Energy dashboard from Energy Entity Name |
| CVE-2025-62414 | bagisto - Cross Site Scripting (XSS) in Create New Customer |
| CVE-2025-62415 | bagisto - Cross Site Scripting (XSS) in TinyMCE Image Upload (HTML) |
| CVE-2025-62418 | bagisto - Cross Site Scripting (XSS) in TinyMCE Image Upload (SVG) |
| CVE-2025-6247 | WordPress Automatic Plugin - AI content generator and auto poster plugin <= 3.118.0 - Cross-Site Request Forgery to Stored Cr... |
| CVE-2025-62796 | PrivateBin persistent HTML injection in attachment filename enables redirect and defacement |
| CVE-2025-62897 | WordPress WP Recipe Maker plugin <= 10.1.1 - Content Injection vulnerability |
| CVE-2025-62936 | WordPress xSmart theme <= 1.2.9.4 - Content Injection vulnerability |
| CVE-2025-63068 | WordPress Contact Form 7 Dynamic Text Extension plugin <= 5.0.3 - Content Injection vulnerability |
| CVE-2025-64187 | OctoPrint is vulnerable to XSS through Action Command Notifications and Prompts |
| CVE-2025-64225 | WordPress Stockie Extra plugin <= 1.2.11 - Content Injection vulnerability |
| CVE-2025-64633 | WordPress Norebro Extra plugin <= 1.6.8 - Content Injection vulnerability |
| CVE-2025-64764 | Astro is vulnerable to Reflected XSS via the server islands feature |
| CVE-2025-66450 | LibreChat JSON Injection in Chat POST Allows Remote Resource Inclusion and PXSS via Image Upload |
| CVE-2025-66472 | XWiki vulnerable to a reflected XSS via xredirect parameter in DeleteApplication |
| CVE-2025-66481 | DeepChat's Incomplete XSS Fix Allows RCE through Mermaid Content |
| CVE-2025-66512 | Nextcloud Server vulnerable to XSS in SVG images when opened outside of Nextcloud |
| CVE-2025-69169 | WordPress Easy Media Download plugin <= 1.1.11 - CSS Injection vulnerability |
| CVE-2025-8386 | AVEVA Application Server IDE Basic Cross-site Scripting |
| CVE-2025-8621 | Mosaic Generator <= 1.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'c' Parameter |
| CVE-2026-1154 | SourceCodester E-Learning System Lesson index.php cross site scripting |
| CVE-2026-20047 | Cisco Identity Services Engine Cross-Site Scripting Vulnerability |
| CVE-2026-23528 | Dask distributed Vulnerable to Remote Code Execution via Jupyter Proxy and Dashboard |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.