Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-80
Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)
The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes special characters such as "", and "&" that could be interpreted as web-scripting elements when they are sent to a downstream component that processes web pages.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01615 | Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с непринятием мер по нейтрализации script-related тэгов, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-00125 | Уязвимость микропрограммного обеспечения программируемых логических контролеров Schneider Electric Modicon, связанная с недостатками нейтрализации специальных символов, позволяющая нарушителю инициировать процедуру смены пароля аутентифицированного п... |
| BDU:2019-04215 | Уязвимость веб-сервера программного обеспечения Spectrum Power, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-00571 | Уязвимость веб-сервера промышленных коммутаторов Siemens SCALANCE X-200, SCALANCE X-200IRT, SCALANCE X-300, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-00862 | Уязвимость реализации протокола WirelessHART шлюза IE/WSN-PA Link, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2020-02448 | Уязвимость микропрограммного обеспечения программируемого логического контроллера SIMATIC S7-1200, позволяющая нарушителю выполнить вредоносный JavaScript-код |
| BDU:2020-03952 | Уязвимость компонента Knowledge Management программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-03953 | Уязвимость компонента Knowledge Management программной интеграционной платформы SAP NetWeaver, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-03984 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-03986 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-03987 | Уязвимость системы управления содержимым сайта WordPress, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-05199 | Уязвимость веб-интерфейса программного средства совместной работы Cisco Webex Teams, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2020-05468 | Уязвимость пользовательского интерфейса программного обеспечения для веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2021-01023 | Уязвимость веб-интерфейса программного обеспечения веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2021-01348 | Уязвимость функции escape_javascript из javascript_helper.rb компонента ActionView программной платформы Ruby on Rails, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-02014 | Уязвимость программного обеспечения веб-конференцсвязи Cisco Webex Meetings, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2021-03490 | Уязвимость плагина rabbitmq_federation_management брокера сообщений RabbitMQ, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-04402 | Уязвимость консоли Admin Console сервера приложений Oracle WebLogic Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-02913 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-02966 | Уязвимость микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7 EEC, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2 EEC, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X308-2LD, SCALANCE X308-2LH, SCALANCE... |
| BDU:2022-03803 | Уязвимость программной платформы Java Runtime Environment, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2022-03974 | Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04035 | Уязвимость компонента /admin/conferences/list/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04036 | Уязвимость программного обеспечения TrueConf Server, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04037 | Уязвимость компонента /admin/conferences/get-all-status/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04038 | Уязвимость компонента /admin/group/list/ программного обеспечения TrueConf Server, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04547 | Уязвимость веб-интерфейса управления средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-04990 | Уязвимость программно-аппаратного обеспечения Siemens, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки |
| BDU:2022-05610 | Уязвимость веб-интерфейса управления платформы Интернета вещей Cisco IoT Control Center, позволяющая нарушитель выполнить произвольный код или получить доступ к конфиденциальной информации |
| BDU:2023-00483 | Уязвимость компонента info.jsp микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2023-01776 | Уязвимость панели Trace View веб-инструмента представления данных Grafana, позволяющая нарушителю повысить свои привилегии и осуществить межсайтовые сценарные атаки |
| BDU:2023-02342 | Уязвимость централизованного решения идентификации и управления доступом FortiAuthenticator, связанная с непринятием мер по нейтрализации тэгов HTML, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2023-05597 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с недостатками используемых мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-08140 | Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и осуществить межсайтовые сценарные атаки |
| BDU:2023-08670 | Уязвимость функции server.transformIndexHtml() локального сервера разработки приложений Vite, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-00990 | Уязвимость компонента API PUT Request Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю выполнить произвольные запросы API PUT |
| BDU:2024-00993 | Уязвимость веб-интерфейса управления системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю пров... |
| BDU:2024-00994 | Уязвимость веб-интерфейса управления системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю выпо... |
| BDU:2024-02336 | Уязвимость параметра contentLink веб-приложения phpMyFAQ, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-02454 | Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных и реализовать межсайтовые сценарные атаки |
| BDU:2024-02507 | Уязвимость файла english.php программного обеспечения для электронной коммерции CE Phoenix (CE PhoenixCart), позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04258 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-05535 | Уязвимость средства аварийного восстановления виртуальной IT-инфраструктуры VMware Cloud Director Availability, связанная с недостатками нейтрализации специальных символов, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-05712 | Уязвимость фреймворка для обработки фоновых задач в веб-приложениях Sidekiq, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-05875 | Уязвимость системы создания и управления бизнес-приложениями Archer Platform, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05948 | Уязвимость компонента Dashboard панели управления программного средства для интеграции приложений IBM App Connect Enterprise, позволяющая нарушителю внедрить произвольный HTML-код |
| BDU:2024-08697 | Уязвимость веб-интерфейса управления микропрограммного обеспечения устройств IP-телефонии Cisco Analog Telephone Adapter (ATA) серии 190, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-08722 | Уязвимость плагина wpDiscuz системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-08799 | Уязвимость VPN-клиента микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-09324 | Уязвимость веб-портала Portal for ArcGIS, связанная с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2024-09719 | Уязвимость веб-интерфейса управления операционных систем Cisco AsyncOS устройств Cisco Secure Email and Web Manager, Secure Email Gateway и Secure Web Appliance, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-10054 | Уязвимость средства просмотра PDF-документов внутри страниц XWiki PDF Viewer Macro (Pro), связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-10838 | Уязвимость службы веб-клиента VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2024-10907 | Уязвимость модуля Summary компонента Workflow фреймворка сканирования уязвимостей Osmedeus, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01204 | Уязвимость системы мониторинга и управления процессами передачи файлов IBM Control Center, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю выполнить произвольный код или получить доступ к... |
| BDU:2025-01318 | Уязвимость системы контроля привилегированных пользователей SafeInspect, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-01818 | Уязвимость функции set_lang_CountryCode() сценария login.cgi микропрограммного обеспечения маршрутизаторов Wavlink AC3000 (WL-WN533A8), позволяющая нарушителю выполнить межсайтовые сценарные атаки и получить несанкционированный доступ к защищаемой ин... |
| BDU:2025-01871 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по нейтрализации html-тэгов, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-01874 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01875 | Уязвимость сервиса для управления задачами и проектами WEEEK, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный JavaScript-код |
| BDU:2025-01885 | Уязвимость шаблона phpgacl/acl_admin.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01886 | Уязвимость шаблона phpgacl/assign_group.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-01887 | Уязвимость шаблона phpgacl/acl_admin.tpl PHP-библиотеки для управления доступом в веб-приложениях phpGACL системы для ведения медицинской документации OpenEMR, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-02543 | Уязвимость платформы защищённого обмена данными MFlash, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02546 | Уязвимость платформы защищённого обмена данными MFlash, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-03187 | Уязвимость программного обеспечения SimpleOne Platform, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушителю внедрить HTML-тег |
| BDU:2025-03458 | Уязвимость метода web.static(..., show_index=True) HTTP-клиента aiohttp, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность системы |
| BDU:2025-04152 | Уязвимость брокера сообщений RabbitMQ, связанная с непринятием мер по нейтрализации script-related тэгов html на веб-странице, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-04291 | Уязвимость графического интерфейса инструмента аналитики и управления безопасностью Fortinet FortiPortal, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04557 | Уязвимость PHP фреймворка Yii, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06213 | Уязвимость веб-интерфейса программного обеспечения для автоматизации выпуска приложений IBM UrbanCode Deploy (UCD), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06514 | Уязвимость приложения для обмена файлами IBM Aspera Faspex, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06522 | Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco Small Business SPA500 Series, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-06621 | Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостатками используемых мер по защите структуры веб-страниц, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-06741 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-06815 | Уязвимость веб-интерфейса платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-06829 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить доступ к аккаунту пользователя |
| BDU:2025-09457 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с неверным управлением генерацией кода, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-09591 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и проводить межсайтовые сценарные атаки |
| BDU:2025-09712 | Уязвимость программного обеспечения для облачного резервного копирования и восстановления данных IBM Cloud Pak System, связанная связана с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2025-09843 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, связанная с непринятием мер по нейтрализации scipt-related тэгов html на веб-странице, позволяющая нарушите... |
| BDU:2025-10093 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2025-10647 | Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-10669 | Уязвимость интегрированной среды разработки программного обеспечения IntelliJ IDEA, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2025-10862 | Уязвимость PHP-библиотеки TCPDF, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS) |
| BDU:2025-10945 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10947 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-13119 | Уязвимость системы рендеринга XWiki Rendering, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-15620 | Уязвимость сервиса для управления бизнесом Битрикс24, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять контроль над содержимым электронных писем |
| BDU:2025-15980 | Уязвимость расширений XWiki Platform Flamingo Skin Resources и XWiki Platform Web Templates платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-16116 | Уязвимость платформы управления рисками на предприятии IBM OpenPages, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный HTML-код |
| BDU:2026-00973 | Уязвимость файла templates/logging_macros.vm платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю реализовать межсайтовые сценарные атаки |
| BDU:2026-01758 | Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC), позволяющая нарушителю проводить атаки межсайтового скриптинга (XSS) |
| BDU:2026-02169 | Уязвимость платформы для автоматизации рабочих процессов n8n, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю перехватить сессию и захватить учетную запись |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2003-5003 | ISS BlackICE PC Protection Update cross site scriting |
| CVE-2008-10001 | Pro2col Stingray FTS cross site scriting |
| CVE-2014-2353 | Cogent DataHub XSS |
| CVE-2016-9493 | PHP forms generated using the PHP FormMail Generator are vulnerable to stored cross-site scripting |
| CVE-2016-9500 | The Accellion FTP server prior to version FTA_9_12_220 is vulnerable to informaiton exposure |
| CVE-2017-16015 | Forms is a library for easily creating HTML forms. Versions before 1.3.0 did not have proper html escaping. This means that i... |
| CVE-2017-16043 | Shout is an IRC client. Because the `/topic` command in messages is unescaped, attackers have the ability to inject HTML scri... |
| CVE-2017-20026 | HumHub Reflected cross site scriting |
| CVE-2017-20027 | HumHub DOM cross site scriting |
| CVE-2017-20033 | PHPList Reflected cross site scriting |
| CVE-2017-20034 | PHPList List Name Persistent cross site scriting |
| CVE-2017-20035 | PHPList Subscribe Persistent cross site scriting |
| CVE-2017-20036 | PHPList Bounce Rule Persistent cross site scriting |
| CVE-2017-20043 | Navetti PricePoint Persistent cross site scriting |
| CVE-2017-20044 | Navetti PricePoint Reflected cross site scriting |
| CVE-2017-20054 | XYZScripts Contact Form Manager Plugin cross site scriting |
| CVE-2017-20055 | BestWebSoft Contact Form Plugin Stored cross site scriting |
| CVE-2017-20056 | weblizar User Login Log Plugin Stored cross site scriting |
| CVE-2017-20057 | Elefant CMS Persistent cross site scriting |
| CVE-2017-20058 | Elefant CMS Version Comparison Persistent cross site scriting |
| CVE-2017-20059 | Elefant CMS Title Persistent cross site scriting |
| CVE-2017-20060 | Elefant CMS Blog Post Persistent cross site scriting |
| CVE-2017-20061 | Elefant CMS extended Reflected cross site scriting |
| CVE-2017-20085 | Atahualpa Theme cross site scriting |
| CVE-2017-20087 | Alpine PhotoTile for Instagram Plugin cross site scriting |
| CVE-2017-20089 | Gwolle Guestbook Plugin cross site scriting |
| CVE-2017-20092 | Google Analytics Dashboard Plugin cross site scriting |
| CVE-2017-20094 | NewStatPress Plugin Persistent cross site scriting |
| CVE-2017-20096 | WP-SpamFree Anti-Spam Plugin cross site scriting |
| CVE-2017-20097 | WP-Filebase Download Manager Plugin cross site scriting |
| CVE-2017-20098 | Admin Custom Login Plugin Persistent cross site scripting |
| CVE-2017-20100 | Air Transfer cross site scripting |
| CVE-2017-20108 | Easy Table Plugin options-general.php cross site scripting |
| CVE-2017-20113 | TrueConf Server Stored cross site scripting |
| CVE-2017-20114 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20115 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20116 | TrueConf Server Reflected cross site scripting |
| CVE-2017-20117 | TrueConf Server group DOM cross site scripting |
| CVE-2017-20118 | TrueConf Server DOM cross site scripting |
| CVE-2017-20122 | Bitrix Site Manager Contact Form cross site scripting |
| CVE-2017-20140 | Itech Movie Portal Script movie.php Reflected cross site scripting |
| CVE-2018-16555 | A vulnerability has been identified in SCALANCE S602 (All versions < V4.0.1.1), SCALANCE S612 (All versions < V4.0.1.1), SCAL... |
| CVE-2018-19942 | Cross-site Scripting Vulnerability in File Station |
| CVE-2018-19943 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. QNAP has already... |
| CVE-2018-19951 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. This issue affec... |
| CVE-2018-19952 | If exploited, this SQL injection vulnerability could allow remote attackers to obtain application information. This issue aff... |
| CVE-2018-19953 | If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. QNAP has already... |
| CVE-2018-19954 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-19955 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-19956 | The cross-site scripting vulnerability has been reported to affect earlier versions of Photo Station. If exploited, the vulne... |
| CVE-2018-25034 | Thomson TCW710 wlanPrimaryNetwork Persistent cross site scripting |
| CVE-2018-25035 | Thomson TCW710 RGFirewallEL Persistent cross site scriting |
| CVE-2018-25036 | Thomson TCW710 RgTime Persistent cross site scriting |
| CVE-2018-25037 | Thomson TCW710 RgDdns Persistent cross site scriting |
| CVE-2018-25038 | Thomson TCW710 RgDhcp Persistent cross site scriting |
| CVE-2018-25039 | Thomson TCW710 RgUrlBlock.asp Persistent cross site scriting |
| CVE-2018-4848 | A vulnerability has been identified in SCALANCE X-200 switch family (incl. SIPLUS NET variants) (All versions < V5.2.3), SCAL... |
| CVE-2019-1010018 | Zammad GmbH Zammad 2.3.0 and earlier is affected by: Cross Site Scripting (XSS) - CWE-80. The impact is: Execute java script... |
| CVE-2019-10933 | A vulnerability has been identified in Spectrum Power 3 (Corporate User Interface) (All versions <= v3.11), Spectrum Power 4... |
| CVE-2019-13923 | A vulnerability has been identified in IE/WSN-PA Link WirelessHART Gateway (All versions). The integrated configuration web s... |
| CVE-2019-13931 | A vulnerability has been identified in XHQ (All versions < V6.0.0.2). The web interface could allow for an an attacker to cra... |
| CVE-2019-18944 | Micro Focus Solutions Business Manager Application Repository versions prior to 11.7.1 are vulnerable to reflected XSS. |
| CVE-2019-19285 | A vulnerability has been identified in XHQ (All Versions < 6.1). The web interface could allow injections that could lead to... |
| CVE-2019-25028 | Stored cross-site scripting in Grid component in Vaadin 7 and 8 |
| CVE-2019-25070 | WolfCMS User Add cross site scripting |
| CVE-2019-5450 | Improper sanitization of HTML in directory names in the Nextcloud Android app prior to version 3.7.0 allowed to style the dir... |
| CVE-2019-6577 | A vulnerability has been identified in SIMATIC HMI Comfort Panels 4" - 22" (All versions < V15.1 Update 1), SIMATIC HMI Comfo... |
| CVE-2019-6585 | A vulnerability has been identified in SCALANCE S602 (All versions >= V3.0 and < V4.1), SCALANCE S612 (All versions >= V3.0 a... |
| CVE-2020-10043 | A vulnerability has been identified in SICAM MMU (All versions < V2.05), SICAM SGU (All versions), SICAM T (All versions < V2... |
| CVE-2020-11001 | Possible XSS attack in Wagtail |
| CVE-2020-13562 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-13563 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-13564 | A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request... |
| CVE-2020-15788 | A vulnerability has been identified in Polarion Subversion Webclient (All versions). The Polarion subversion web application... |
| CVE-2020-2491 | Cross-site Scripting Vulnerability in Photo Station |
| CVE-2020-2493 | Cross-site Scripting Vulnerability in Multimedia Console |
| CVE-2020-2494 | Cross-site Scripting Vulnerability in Music Station |
| CVE-2020-2495 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2496 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2497 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2498 | Cross-site scripting vulnerability in QTS and QuTS hero |
| CVE-2020-2502 | Cross-site Scripting Vulnerability in Photo Station |
| CVE-2020-2503 | Stored cross-site scripting vulnerability in QES |
| CVE-2020-26067 | Cisco Webex Teams Web Interface Cross-Site Scripting Vulnerability |
| CVE-2020-26218 | HTML Injection in touchbase.ai |
| CVE-2020-27126 | Cisco Webex Meetings API Cross-Site Scripting Vulnerability |
| CVE-2020-36196 | Stored XSS Vulnerability in QuLog Center |
| CVE-2020-36544 | SialWeb CMS Search cross site scriting |
| CVE-2020-4046 | Authenticated XSS through embed block in WordPress |
| CVE-2020-4047 | Authenticated XSS via media attachment page in WordPress |
| CVE-2020-4049 | Authenticated self-XSS via theme uploads in WordPress |
| CVE-2020-5241 | XSS/Script injection vulnerability in matestack |
| CVE-2020-5267 | Possible XSS vulnerability in ActionView |
| CVE-2020-5283 | XSS vulnerability in CVS show_subdir_lastmod support |
| CVE-2020-7575 | A vulnerability has been identified in Climatix POL908 (BACnet/IP module) (All versions), Climatix POL909 (AWM module) (All v... |
| CVE-2020-7579 | A vulnerability has been identified in Spectrum Power™ 5 (All versions < v5.50 HF02). The web server could allow Cross-Site S... |
| CVE-2020-8966 | Cross Site Scripting (XSS) flaws found in Tiki-Wiki CMS software |
| CVE-2021-1351 | Cisco Webex Meetings Cross-Site Scripting Vulnerability |
| CVE-2021-1420 | Cisco Webex Meetings HTML Injection Vulnerability |
| CVE-2021-27915 | XSS Cross-site Scripting Stored (XSS) - Description field |
| CVE-2021-28803 | Stored XSS Vulnerability in Q'center |
| CVE-2021-29438 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in @nextcloud/dialogs |
| CVE-2021-29467 | Self-XSS |
| CVE-2021-29503 | Improper Neutralization of Script-Related HTML Tags in Notes |
| CVE-2021-32718 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in RabbitMQ management UI |
| CVE-2021-32719 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in RabbitMQ federation management plugin |
| CVE-2021-32735 | Cross-site scripting (XSS) from field and configuration text displayed in the Panel |
| CVE-2021-37195 | A vulnerability has been identified in COMOS V10.2 (All versions only if web components are used), COMOS V10.3 (All versions... |
| CVE-2021-39348 | LearnPress – WordPress LMS Plugin <= 4.1.3.1 Authenticated Stored Cross-Site Scripting |
| CVE-2021-4227 | Ark Comment Editor <= 2.15.6 - Iframe Injection via Comment |
| CVE-2021-43862 | Self XSS on user input |
| CVE-2021-44196 | XSS in UBIT Information Technologies Student Information Management System |
| CVE-2021-44197 | XSS in UBIT Information Technologies Student Information Management System |
| CVE-2022-0989 | NS WooCommerce Watermark <= 2.11.3 - Abuse of Functionality |
| CVE-2022-1002 | HTML Injection while inviting Guests |
| CVE-2022-1274 | A flaw was found in Keycloak in the execute-actions-email endpoint. This issue allows arbitrary HTML to be injected into emai... |
| CVE-2022-1293 | XSS vulnerability in Citadel |
| CVE-2022-20654 | Cisco Webex Meetings Cross-Site Scripting Vulnerability |
| CVE-2022-20740 | Cisco Firepower Management Center Software Cross-Site Scripting Vulnerability |
| CVE-2022-20765 | Cisco UCS Director JavaScript Cross-Site Scripting Vulnerability |
| CVE-2022-20916 | Cisco IoT Control Center Cross-Site Scripting Vulnerability |
| CVE-2022-21145 | A stored cross-site scripting vulnerability exists in the WebUserActions.aspx functionality of Lansweeper lansweeper 9.1.20.2... |
| CVE-2022-21238 | A cross-site scripting (xss) vulnerability exists in the info.jsp functionality of InHand Networks InRouter302 V3.5.4. A spec... |
| CVE-2022-23543 | HTML attributes when attaching a YouTube link to the post |
| CVE-2022-24749 | Basic Cross-site Scripting and Unrestricted Upload of File with Dangerous Type in Sylius |
| CVE-2022-25620 | Stored Cross-Site Scripting (XSS) |
| CVE-2022-25756 | A vulnerability has been identified in SCALANCE X302-7 EEC (230V), SCALANCE X302-7 EEC (230V, coated), SCALANCE X302-7 EEC (2... |
| CVE-2022-28648 | In JetBrains YouTrack before 2022.1.43563 HTML code from the issue description was being rendered |
| CVE-2022-28703 | A stored cross-site scripting vulnerability exists in the HdConfigActions.aspx altertextlanguages functionality of Lansweeper... |
| CVE-2022-29168 | Cross Site Scripting in Wire Messages |
| CVE-2022-29251 | Cross-site Scripting in the Flamingo theme manager |
| CVE-2022-29252 | Cross-site Scripting in XWiki Platform Wiki UI Main Wiki |
| CVE-2022-29258 | Cross-site Scripting in Filter Stream Converter Application in XWiki Platform |
| CVE-2022-35278 | HTML Injection in ActiveMQ Artemis Web Console |
| CVE-2022-35850 | An improper neutralization of script-related HTML tags in a web page vulnerability [CWE-80] in FortiAuthenticator versions 6.... |
| CVE-2022-36057 | Discourse-Chat Cross-Site Scripting issue for channel names and descriptions |
| CVE-2022-36094 | XWiki Platform Web Parent POM vulnerable to XSS in the attachment history |
| CVE-2022-36096 | XWiki Platform vulnerable to Cross-site Scripting in the deleted attachments list |
| CVE-2022-36097 | XWiki Platform Attachment UI vulnerable to cross-site scripting in the move attachment form |
| CVE-2022-36325 | Affected devices do not properly sanitize data introduced by an user when rendering the web interface. This could allow an au... |
| CVE-2022-38055 | WordPress wpForo Forum plugin <= 2.0.9 - Auth. HTML Injection vulnerability |
| CVE-2022-38210 | HTML injection in accountswitcher-callback.html (10.9.1, 10.8.1 and 10.7.1 only) |
| CVE-2022-3844 | Webmin index.cgi cross site scripting |
| CVE-2022-39240 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in MyGraph |
| CVE-2022-39277 | Cross-Site Scripting (XSS) in external links in GLPI |
| CVE-2022-39301 | sra-admin is vulnerable to storage cross-site scripting (XSS) via unrestricted file upload |
| CVE-2022-39348 | Twisted vulnerable to NameVirtualHost Host header injection |
| CVE-2022-39371 | Stored Cross-Site Scripting (XSS) through asset inventory in GLPI |
| CVE-2022-39372 | Stored Cross-Site Scripting (XSS) in user information in GLPI |
| CVE-2022-46350 | A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions <... |
| CVE-2022-4953 | Elementor < 3.5.5 - Iframe Injection |
| CVE-2023-0007 | PAN-OS: Stored Cross-Site Scripting (XSS) Vulnerability in the Panorama Web Interface |
| CVE-2023-1013 | XSS in Vira-Investing |
| CVE-2023-1384 | The setMediaSource function on the amzn.thin.pl service does not sanitize the "source" parameter allowing for arbitrary javas... |
| CVE-2023-20179 | A vulnerability in the web-based management interface of Cisco Catalyst SD-WAN Manager, formerly Cisco SD-WAN vManage, could... |
| CVE-2023-20181 | A vulnerability in the web-based management interface of Cisco Small Business SPA500 Series IP Phones could allow an unauthen... |
| CVE-2023-20218 | A vulnerability in web-based management interface of Cisco SPA500 Series Analog Telephone Adapters (ATAs) could allow an auth... |
| CVE-2023-20222 | A vulnerability in the web-based management interface of Cisco Prime Infrastructure and Cisco Evolved Programmable Network Ma... |
| CVE-2023-20228 | A vulnerability in the web-based management interface of Cisco Integrated Management Controller (IMC) could allow an unauthen... |
| CVE-2023-20257 | A vulnerability in the web-based management interface of Cisco Prime Infrastructure could allow an authenticated, remote atta... |
| CVE-2023-22309 | Reflected Cross Site Scripting (XSS) |
| CVE-2023-22461 | sanitize-svg Filter Bypass Allows Cross-Site Scripting (XSS) |
| CVE-2023-22464 | ViewVC XSS vulnerability in revision view changed path "copyfrom" locations |
| CVE-2023-23548 | XSS in business intelligence |
| CVE-2023-23735 | WordPress Spectra – WordPress Gutenberg Blocks plugin <= 2.3.0 - Unauthenticated Email HTML Injection Vulnerability |
| CVE-2023-24496 | Cross-site scripting (xss) vulnerabilities exist in the requestHandlers.js detail_device functionality of Milesight VPN v2.0.... |
| CVE-2023-24497 | Cross-site scripting (xss) vulnerabilities exist in the requestHandlers.js detail_device functionality of Milesight VPN v2.0.... |
| CVE-2023-25833 | BUG-000155004 HTML injection issue in Portal for ArcGIS. |
| CVE-2023-26046 | teler-waf subject to bypass of common web attack threat rule with HTML entities payload |
| CVE-2023-26047 | teler-waf contains detection rule bypass via entities payload |
| CVE-2023-28851 | Silverstripe Form Capture vulnerable to Stored Cross-Site Scripting |
| CVE-2023-29110 | Code Injection vulnerability in SAP Application Interface Framework (Message Dashboard) |
| CVE-2023-29112 | Code Injection vulnerability in SAP Application Interface Framework (Message Monitoring) |
| CVE-2023-29508 | org.xwiki.platform:xwiki-platform-livedata-macro vulnerable to Cross-site Scripting |
| CVE-2023-2981 | Abstrium Pydio Cells Chat cross site scripting |
| CVE-2023-3017 | SourceCodester Lost and Found Information System Manage User Page cross site scripting |
| CVE-2023-30615 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in iris-web |
| CVE-2023-32192 | Rancher API Server Cross-site Scripting Vulnerability |
| CVE-2023-32193 | Norman API Cross-site Scripting Vulnerability |
| CVE-2023-33194 | CraftCMS stored XSS in Quick Post widget error message |
| CVE-2023-33196 | Craft CMS stored XSS in review volume |
| CVE-2023-33197 | Craft CMS stored XSS in indexedVolumes |
| CVE-2023-34354 | A stored cross-site scripting (XSS) vulnerability exists in the upload_brand.cgi functionality of peplink Surf SOHO HW1 v6.3.... |
| CVE-2023-3481 | XSS in Chrome Lab Critters |
| CVE-2023-35006 | IBM Security ReaQta HTML injection |
| CVE-2023-35153 | XWiki Platform vulnerable to stored cross-site scripting in ClassEditSheet page via name parameters |
| CVE-2023-35157 | XWiki Platform vulnerable to reflected cross-site scripting via delattachment action |
| CVE-2023-36555 | An improper neutralization of script-related html tags in a web page (basic xss) in Fortinet FortiOS 7.2.0 - 7.2.4 allows an... |
| CVE-2023-38007 | IBM Cloud Pak System HTML injection |
| CVE-2023-39161 | WordPress Discussion Board plugin <= 2.4.8 - Content Injection vulnerability |
| CVE-2023-39216 | Improper input validation in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user to enable an esc... |
| CVE-2023-39217 | Improper input validation in Zoom SDK’s before 5.14.10 may allow an unauthenticated user to enable a denial of service via ne... |
| CVE-2023-3971 | Controller: html injection in custom login info |
| CVE-2023-40557 | WordPress Tabs & Accordion plugin <= 1.3.10 - Content Injection vulnerability |
| CVE-2023-41048 | plone.namedfile vulnerable to Stored Cross Site Scripting with SVG images |
| CVE-2023-4109 | Ninja Forms < 3.6.26 - Admin+ Stored HTML Injection |
| CVE-2023-42458 | Zope vulnerable to Stored Cross Site Scripting with SVG images |
| CVE-2023-43790 | iTop vulnerable to XSS in friendlyname in object details |
| CVE-2023-44393 | Piwigo Reflected XSS vulnerability |
| CVE-2023-44396 | iTop vulnerable to XSS in dashlet modifications ajax endpoints |
| CVE-2023-45053 | WordPress WP Content Pilot plugin <= 1.3.3 - HTML Injection vulnerability |
| CVE-2023-45635 | WordPress Responsive Tabs plugin < 4.0.6 - HTML Content Injection vulnerability |
| CVE-2023-46235 | FOG stored XSS on log screen via unsanitized request logging |
| CVE-2023-46310 | WordPress wpDiscuz plugin <= 7.6.10 - Content Injection vulnerability |
| CVE-2023-4663 | XSS in Saphira Connect |
| CVE-2023-46722 | Pimcore Admin Classic Bundle Cross-site Scripting (XSS) in PDF previews |
| CVE-2023-47513 | WordPress ARI Stream Quiz – WordPress Quizzes Builder plugin <= 1.3.2 - Content Injection vulnerability |
| CVE-2023-47663 | WordPress Foyer plugin <= 1.7.5 - Content Injection vulnerability |
| CVE-2023-47869 | WordPress wpForo plugin <= 2.2.5 - Broken Access Control + CSRF vulnerability |
| CVE-2023-48285 | WordPress Accept Stripe Payments plugin <= 2.0.79 - Content Injection vulnerability |
| CVE-2023-48763 | WordPress JetFormBuilder plugin <= 3.1.4 - Content Injection vulnerability |
| CVE-2023-49852 | WordPress Responsive Slick Slider WordPress plugin <= 1.4 - Content Injection vulnerability |
| CVE-2023-5582 | ZZZCMS Personal Profile Page cross site scripting |
| CVE-2023-5933 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in GitLab |
| CVE-2024-0183 | RRJ Nueva Ecija Engineer Online Portal NIA Office students.php cross site scripting |
| CVE-2024-10038 | WP-Strava <= 2.12.1 - Authenticated (Administrator+) Stored Cross-Site Scripting |
| CVE-2024-10592 | Mapster WP Maps <= 1.6.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2024-10621 | Simple Shortcode for Google Maps <= 1.5.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2024-11404 | File Upload Bypass in django Filer |
| CVE-2024-11479 | Authenticated HTML Injection in Issuetrak Ticket Comment Function |
| CVE-2024-11954 | Pimcore Search Document cross site scripting |
| CVE-2024-12127 | Learning Management System, eLearning, Course Builder, WordPress LMS Plugin – Sikshya LMS <= 0.0.21 - Reflected Cross-Site Sc... |
| CVE-2024-13497 | WordPress form builder plugin for contact forms, surveys and quizzes – Tripetto <= 8.0.9 - Unauthenticated Stored Cross-Site... |
| CVE-2024-13704 | Super Testimonials <= 4.0.1 - Unauthenticated Stored Cross-Site Scripting |
| CVE-2024-1606 | HTML injection in BMC Control-M |
| CVE-2024-2010 | Reflected XSS in TE Informatics' V5 Software |
| CVE-2024-20341 | Cisco Adaptive Security Appliance WebVPN Cross-Site Scripting Vulnerability |
| CVE-2024-20362 | A vulnerability in the web-based management interface of Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 R... |
| CVE-2024-20382 | A vulnerability in the VPN web client services feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepowe... |
| CVE-2024-20460 | Cisco ATA 190 Series Analog Telephone Adapter Firmware Reflected Cross-Site Scripting Vulnerability |
| CVE-2024-20504 | Cisco Secure Email and Web Manager, Secure Email Gateway, and Secure Web Appliance Stored Cross-Site Scripting Vulnerabilitie... |
| CVE-2024-23522 | WordPress Formidable Forms plugin <= 6.7 - Content Injection vulnerability |
| CVE-2024-2380 | XSS in graph rendering |
| CVE-2024-23817 | Dolibarr Application Home Page HTML injection vulnerability |
| CVE-2024-23841 | XSS in @apollo/experimental-nextjs-app-support |
| CVE-2024-24571 | facileManager Systemic Cross-Site Scripting (XSS) |
| CVE-2024-24574 | phpMyFAQ vulnerable to stored XSS on attachments filename |
| CVE-2024-24807 | Sulu is vulnerable to HTML Injection via Autocomplete Suggestion |
| CVE-2024-24812 | Frappe Authenticated Reflected Cross site scripting (XSS) in portal pages |
| CVE-2024-24874 | WordPress Polls CP plugin <= 1.0.71 - Content Injection vulnerability |
| CVE-2024-25639 | Prompt Injection triggered XSS vulnerability in Khoj Obsidian, Desktop and Web clients |
| CVE-2024-25690 | HTML injection in ArcGIS Web AppBuilder |
| CVE-2024-27306 | aiohttp vulnerable to XSS on index pages for static file handling |
| CVE-2024-28108 | phpMyFAQ Stored HTML Injection at contentLink |
| CVE-2024-28831 | XSS in confirmation pop-up |
| CVE-2024-28832 | XSS in Crash Report Page |
| CVE-2024-32464 | ActionText ContentAttachment can Contain Unsanitized HTML |
| CVE-2024-32472 | excalidraw vulnerable to a Stored XSS in excalidraw's web embed component |
| CVE-2024-32484 | An reflected XSS vulnerability exists in the handling of invalid paths in the Flask server in Ankitects Anki 24.04. A special... |
| CVE-2024-32790 | WordPress Pricing Table by Supsystic plugin <= 1.9.12 - Content Injection vulnerability |
| CVE-2024-32875 | Hugo doesn't escape markdown title in internal render hooks |
| CVE-2024-32966 | Stored Cross-site Scripting in directory listings via file names in static-web-server |
| CVE-2024-34070 | Froxlor Vulnerable to Blind XSS Leading to Froxlor Application Compromise |
| CVE-2024-34699 | GZ::CTF allows unprivileged user can perform XSS attacks by constructing malicious team names. |
| CVE-2024-35112 | IBM Control Center cross-site scripting |
| CVE-2024-35224 | Stored Cross-Site Scripting (XSS) in OpenProject |
| CVE-2024-36395 | Verint - CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-37156 | TokenController formName not sanitized in hidden input |
| CVE-2024-37166 | ghtml Cross-Site Scripting (XSS) vulnerability |
| CVE-2024-37297 | WooCommerce has a Cross-Site Scripting Vulnerability in checkout & registration forms |
| CVE-2024-38039 | BUG-000161683 - HTML injection vulnerability in Portal for ArcGIS. |
| CVE-2024-38318 | IBM Aspera Shares HTML injection |
| CVE-2024-38859 | XSS in view page with SLA column |
| CVE-2024-39363 | A cross-site scripting (xss) vulnerability exists in the login.cgi set_lang_CountryCode() functionality of Wavlink AC3000 M33... |
| CVE-2024-41693 | Mashov - CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-41697 | Priority – CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) |
| CVE-2024-41752 | IBM Cognos Analytics HTML injection |
| CVE-2024-41810 | HTML injection in HTTP redirect body |
| CVE-2024-41947 | XWiki Platform XSS through conflict resolution |
| CVE-2024-4214 | WordPress cardealer plugin <= 4.15 - Content Injection vulnerability |
| CVE-2024-42195 | HCL DevOps Deploy / HCL Launch is vulnerable to HTML injection |
| CVE-2024-44061 | WordPress EU/UK VAT Manager for WooCommerce plugin <= 2.12.14 - CSRF to Cross Site Scripting (XSS) vulnerability |
| CVE-2024-45406 | Craft CMS stored XSS in breadcrumb list and title fields |
| CVE-2024-46910 | Apache Atlas: An authenticated user can perform XSS and potentially impersonate another user |
| CVE-2024-47139 | F5 BIG-IQ Vulnerability |
| CVE-2024-47536 | starcitizentools/citizen-skin vulnerable to stored, self-XSS in the "real name" field |
| CVE-2024-47612 | XSS in Special:DataDump when displaying dump status |
| CVE-2024-47765 | Minecraft MOTD Parser's HtmlGenerator vulnerable to XSS |
| CVE-2024-47782 | Cross-site Scripting (XSS) in Special:WikiDiscover when displaying wiki information in WikiDiscover |
| CVE-2024-47812 | Cross-site Scripting (XSS) on Special:RequestImportQueue when displaying request date in ImportDump |
| CVE-2024-47815 | Cross-site Scripting in IncidentReporting |
| CVE-2024-49337 | IBM OpenPages HTML injection |
| CVE-2024-49343 | IBM Informix Dynamic Server HTML injection |
| CVE-2024-49377 | Jinja2 Templates are vulnerable to XSS attacks due to their configuration in OctoPrint |
| CVE-2024-50344 | I, Librarian has a Stored XSS vulnerability in Supplemental Files |
| CVE-2024-51472 | IBM DevOps Deploy / IBM UrbanCode Deploy HTML injection |
| CVE-2024-51475 | IBM Content Navigator HTML injection |
| CVE-2024-51735 | Stored Cross-site Scripting to RCE on Osmedeus Web Server |
| CVE-2024-52300 | macro-pdfviewer has a XSS through the width parameter |
| CVE-2024-52597 | 2FAuth vulnerable to stored cross-site scripting via SVG upload and direct access render |
| CVE-2024-52598 | 2FAuth vulnerable to Server Side Request Forgery + URI validation bypass in 2fauth /api/v1/twofaccounts/preview |
| CVE-2024-52967 | An improper neutralization of script-related html tags in a web page (basic xss) in Fortinet FortiPortal 6.0.0 through 6.0.14... |
| CVE-2024-54001 | Kanboard allows a persistent HTML injection site scripting in settings page date format |
| CVE-2024-54128 | Directus has an HTML Injection in Comment |
| CVE-2024-54223 | WordPress ARForms plugin <= 1.7.1 - HTML Injection vulnerability |
| CVE-2024-56199 | phpMyFAQ Vulnerable to Stored HTML Injection at FAQ |
| CVE-2024-5741 | XSS in inventory view |
| CVE-2024-5851 | playSMS SMS Schedule cross site scripting |
| CVE-2024-6052 | XSS in SQL check parameters |
| CVE-2024-6108 | Genexis Tilgin Home Gateway Login cross site scripting |
| CVE-2024-6183 | EZ-Suite EZ-Partner Forgot Password cross site scripting |
| CVE-2024-6251 | playSMS New Phonebook cross site scripting |
| CVE-2024-7629 | Responsive Video <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2024-8145 | ClassCMS Article admin cross site scripting |
| CVE-2024-8680 | MailChimp for Wordpress <= 4.9.16 - Authenticated (Administrator+) Stored Cross-Site Scripting |
| CVE-2024-8872 | Store Hours for WooCommerce <= 4.3.20 - Reflected Cross-Site Scripting |
| CVE-2024-8981 | Broken Link Checker <= 2.4.0 - Reflected Cross-Site Scripting |
| CVE-2024-9147 | HTML Injection in Bna Informatics' PosPratik |
| CVE-2024-9438 | SEUR Oficial <= 2.2.11 - Reflected Cross-Site Scripting |
| CVE-2025-0272 | HCL DevOps Deploy / HCL Launch is susceptible to an HTML injection vulnerability |
| CVE-2025-0276 | HCL BigFix Modern Client Management (MCM) is affected by an insecure Content Security Policy (CSP) |
| CVE-2025-0277 | HCL BigFix Mobile is affected by an insecure Content Security Policy (CSP) |
| CVE-2025-10125 | Memberlite Shortcodes <= 1.4 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-10128 | Eulerpool Research Systems <= 4.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-10496 | Cookie Notice & Consent <= 1.6.5 - Unauthenticated Stored Cross-Site Scripting |
| CVE-2025-11160 | WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via Custom JS Module |
| CVE-2025-11161 | WPBakery Page Builder <= 8.6.1 - Stored Cross-Site Scripting via vc_custom_heading Shortcode |
| CVE-2025-11241 | Yoast SEO Premium 25.7-25.9 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-11745 | Ad Inserter <= 2.8.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom Field |
| CVE-2025-11823 | ShopLentor – WooCommerce Builder for Elementor & Gutenberg +21 Modules – All in One Solution <= 3.2.4 - Authenticated (Contri... |
| CVE-2025-11874 | Slippy Slider – Responsive Touch Navigation Slider <= 2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-11966 | In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], when "directory listing" is enabled, file and directory names... |
| CVE-2025-11987 | Visual Link Preview <= 2.2.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via visual-link-preview Shortcode |
| CVE-2025-11992 | Multi Item Responsive Slider <= 1.0 - Cross-Site Request Forgery to Stored Cross-Site Scripting |
| CVE-2025-12753 | Chart Expert <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2025-13178 | Bdtask/CodeCanyon SalesERP User Profile edit_profile cross site scripting |
| CVE-2025-13180 | Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System edit_profile cross site scripting |
| CVE-2025-1807 | Eastnets PaymentSafe Edit Manual Reply directRouter.rfc cross site scripting |
| CVE-2025-1997 | IBM UrbanCode Deploy (UCD) / IBM DevOps Deploy HTML injection |
| CVE-2025-20267 | Cisco Identity Services Stored Cross-Site Scripting Vulnerability |
| CVE-2025-20331 | Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerabiliy |
| CVE-2025-20342 | Cisco Integrated Management Controller Virtual Keyboard Video Monitor (vKVM) Stored Cross-Site Scripting Vulnerability |
| CVE-2025-21612 | Cross-site Scripting in TabberTransclude in Extension:TabberNeue |
| CVE-2025-22274 | HTML injection in CyberArk Endpoint Privilege Manager |
| CVE-2025-22402 | Dell Update Manager Plugin, version(s) 1.5.0 through 1.6.0, contain(s) an Improper Neutralization of Script-Related HTML Tags... |
| CVE-2025-22501 | WordPress Improve My City plugin <= 1.6 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-23392 | Reflected XSS in SystemsController.java in spacewalk-java |
| CVE-2025-23393 | Reflected XSS in spacewalk-java |
| CVE-2025-23919 | WordPress Slides & Presentations Plugin <= 0.0.39 - Content Injection vulnerability |
| CVE-2025-24673 | WordPress Ketchup Shortcodes Plugin <= 0.1.2 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-24678 | WordPress Listamester Plugin <= 2.3.4 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-24680 | WordPress WP Multi Store Locator Plugin <= 2.4.7 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-25299 | Cross-site scripting (XSS) in the real-time collaboration package |
| CVE-2025-27099 | Tuleap allows XSS via the tracker names used in the semantic timeframe deletion message |
| CVE-2025-27155 | In-memory stored Cross-site scripting (XSS) vulnerability in pineconesim |
| CVE-2025-27358 | WordPress Frontend File Manager plugin <= 23.2 - Content Injection Vulnerability |
| CVE-2025-27514 | GLPI is susceptible to Stored XSS attack through project's kanban |
| CVE-2025-2895 | IBM Cloud Pak System HTML injection |
| CVE-2025-30161 | OpenEMR Stored XSS in OpenEMR Bronchitis Form |
| CVE-2025-30210 | Bruno XSS On Environment Name |
| CVE-2025-30676 | Apache OFBiz: Stored XSS Vulnerability |
| CVE-2025-31075 | WordPress MicroPayments plugin <= 2.9.29 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31326 | HTML Injection vulnerability in SAP BusinessObjects Business Intelligence Platform (Web Intelligence) |
| CVE-2025-31384 | WordPress Videos plugin <= 1.0.5 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31465 | WordPress Better Section Navigation Widget <= 1.6.1 - Cross Site Scripting (XSS) Vulnerability |
| CVE-2025-31575 | WordPress Flag Icons plugin <= 2.2 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31604 | WordPress Cal.com plugin <= 1.0.0 - Cross Site Scripting (XSS) vulnerability |
| CVE-2025-31992 | HCL MaxAI Assistant is susceptible to a HTML injection vulnerability |
| CVE-2025-32027 | Yii does not prevent XSS in scenarios where fallback error renderer is used |
| CVE-2025-32230 | WordPress Tutor LMS plugin <= 3.4.0 - HTML Injection vulnerability |
| CVE-2025-33110 | IBM OpenPages Vulnerable to HTML Injection |
| CVE-2025-33138 | IBM Aspera Faspex HTML injection |
| CVE-2025-3521 | Team Members – Best WordPress Team Plugin with Team Slider, Team Showcase & Team Builder <= 3.4.0 - Authenticated (Contributo... |
| CVE-2025-36121 | HTML Injection Vulnerability in a Specific URL Endpoint of the IBM OpenPages Application |
| CVE-2025-39524 | WordPress Html5 Audio Player <= 2.2.28 - Cross Site Scripting (XSS) Vulnerability |
| CVE-2025-39663 | Cross Site Scripting through compromised remote site |
| CVE-2025-4126 | EG-Series <= 2.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode |
| CVE-2025-4168 | Subpage List <= 1.3.3 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-4278 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in GitLab |
| CVE-2025-4367 | Download Manager <= 3.3.18 - Authenticated (Author+) Stored Cross-site Scripting via wpdm_user_dashboard Shortcode |
| CVE-2025-48884 | Galette is vulnerable to XSS through Document Type |
| CVE-2025-49137 | Hax CMS Stored Cross-Site Scripting vulnerability |
| CVE-2025-49398 | WordPress Easy Appointments plugin <= 3.12.14 - Content Injection vulnerability |
| CVE-2025-52654 | HCL MyXalytics is affected by an HTML Injection |
| CVE-2025-52897 | GLPI is vulnerable to XSS and open redirection attacks through planning feature |
| CVE-2025-52902 | File Browser has Stored Cross-Site Scripting vulnerability |
| CVE-2025-53093 | TabberNeue vulnerable to Stored XSS through wikitext |
| CVE-2025-53835 | XWiki Rendering is vulnerable to XSS attacks through insecure XHTML syntax |
| CVE-2025-53883 | spacewalk-java has various XSS issues on search page |
| CVE-2025-54057 | Apache SkyWalking: Stored XSS vulnerability |
| CVE-2025-54117 | NamelessMC allows Stored Cross-Site Scripting (XSS) in dashboard text editor |
| CVE-2025-54414 | Anubis accepts crafted redirect URLs in pass-challenge 'Try Again' buttons |
| CVE-2025-54421 | NamelessMC allows Stored Cross Site Scripting (XSS) in SEO component |
| CVE-2025-54589 | copyparty Reflected XSS via Filter Parameter |
| CVE-2025-54698 | WordPress Classified Listing Plugin plugin <= 5.0.0 - Content Injection Vulnerability |
| CVE-2025-54789 | Files is Vulnerable to Reflected Self-XSS through its File Move Functionality |
| CVE-2025-55291 | Shaarli allows reflected XSS via searchtags parameter |
| CVE-2025-55672 | Apache Superset: Stored XSS on charts metadata |
| CVE-2025-5686 | Paged Gallery <= 0.7 - Authenticated (Contributor+) Stored Cross-Site Scripting |
| CVE-2025-57928 | WordPress AWP Classifieds Plugin <= 4.3.5 - Content Injection Vulnerability |
| CVE-2025-58054 | Discourse is vulnerable to XSS when quoting chat messages |
| CVE-2025-58412 | A improper neutralization of script-related html tags in a web page (basic xss) vulnerability in Fortinet FortiADC 8.0.0, For... |
| CVE-2025-58430 | listmonk Vulnerable to CSRF to XSS Chain That Can Lead to Admin Account Takeover |
| CVE-2025-58970 | WordPress Doctreat theme <= 1.6.7 - Content Injection vulnerability |
| CVE-2025-59573 | WordPress Cozy Blocks Plugin <= 2.1.29 - Content Injection Vulnerability |
| CVE-2025-60100 | WordPress XStore Theme <= 9.5.3 - Content Injection Vulnerability |
| CVE-2025-60244 | WordPress TableOn plugin <= 1.0.4.2 - Content Injection vulnerability |
| CVE-2025-61583 | TS3 Manager is vulnerable to unauthenticated reflected XSS attack due to insecure error handling |
| CVE-2025-62172 | Home Assistant vulnerable to Stored XSS in Energy dashboard from Energy Entity Name |
| CVE-2025-62414 | bagisto - Cross Site Scripting (XSS) in Create New Customer |
| CVE-2025-62415 | bagisto - Cross Site Scripting (XSS) in TinyMCE Image Upload (HTML) |
| CVE-2025-62418 | bagisto - Cross Site Scripting (XSS) in TinyMCE Image Upload (SVG) |
| CVE-2025-6247 | WordPress Automatic Plugin - AI content generator and auto poster plugin <= 3.118.0 - Cross-Site Request Forgery to Stored Cr... |
| CVE-2025-62796 | PrivateBin persistent HTML injection in attachment filename enables redirect and defacement |
| CVE-2025-62897 | WordPress WP Recipe Maker plugin <= 10.1.1 - Content Injection vulnerability |
| CVE-2025-62936 | WordPress xSmart theme <= 1.2.9.4 - Content Injection vulnerability |
| CVE-2025-63068 | WordPress Contact Form 7 Dynamic Text Extension plugin <= 5.0.3 - Content Injection vulnerability |
| CVE-2025-64187 | OctoPrint is vulnerable to XSS through Action Command Notifications and Prompts |
| CVE-2025-64225 | WordPress Stockie Extra plugin <= 1.2.11 - Content Injection vulnerability |
| CVE-2025-64633 | WordPress Norebro Extra plugin <= 1.6.8 - Content Injection vulnerability |
| CVE-2025-64764 | Astro is vulnerable to Reflected XSS via the server islands feature |
| CVE-2025-66450 | LibreChat JSON Injection in Chat POST Allows Remote Resource Inclusion and PXSS via Image Upload |
| CVE-2025-66472 | XWiki vulnerable to a reflected XSS via xredirect parameter in DeleteApplication |
| CVE-2025-66481 | DeepChat's Incomplete XSS Fix Allows RCE through Mermaid Content |
| CVE-2025-66512 | Nextcloud Server vulnerable to XSS in SVG images when opened outside of Nextcloud |
| CVE-2025-69169 | WordPress Easy Media Download plugin <= 1.1.11 - CSS Injection vulnerability |
| CVE-2025-8386 | AVEVA Application Server IDE Basic Cross-site Scripting |
| CVE-2025-8621 | Mosaic Generator <= 1.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'c' Parameter |
| CVE-2026-1154 | SourceCodester E-Learning System Lesson index.php cross site scripting |
| CVE-2026-1282 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) in GitLab |
| CVE-2026-20047 | Cisco Identity Services Engine Cross-Site Scripting Vulnerability |
| CVE-2026-20070 | Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Services Cross-Site Scr... |
| CVE-2026-22254 | Winter Affected by Stored Cross-Site Scripting (XSS) in Asset Manager |
| CVE-2026-22422 | WordPress Everest Forms plugin <= 3.4.1 - Arbitrary Shortcode Execution vulnerability |
| CVE-2026-22469 | WordPress DeepDigital theme <= 1.0.2 - Arbitrary Shortcode Execution vulnerability |
| CVE-2026-23528 | Dask distributed Vulnerable to Remote Code Execution via Jupyter Proxy and Dashboard |
| CVE-2026-24128 | XWiki Affected by Reflected Cross-Site Scripting (XSS) in Error Messages |
| CVE-2026-24564 | WordPress Textmetrics plugin <= 3.6.3 - Arbitrary Shortcode Execution vulnerability |
| CVE-2026-25006 | WordPress XStore theme <= 9.6.4 - Arbitrary Shortcode Execution vulnerability |
| CVE-2026-25054 | n8n is Vulnerable to Stored Cross-Site Scripting via Markdown Rendering in Workflow UI |
| CVE-2026-25578 | Navidrome is vulnerable to XSS via comment from song metadata |
| CVE-2026-25764 | OpenProject vulnerable to Stored HTML injection |
| CVE-2026-25935 | Vikunja Affected by XSS Via Task Preview |
| CVE-2026-27116 | Vikunja has Reflected HTML Injection via filter Parameter in Projects Module |
| CVE-2026-27458 | LinkAce: Stored XSS in Atom Feed via CDATA Escape in List Description |
| CVE-2026-27578 | n8n Vulnerable to Stored XSS via Various Nodes |
| CVE-2026-28132 | WordPress WooCommerce Photo Reviews plugin <= 1.4.4 - Content Injection vulnerability |
| CVE-2026-32732 | XSS in @leanprover/unicode-input-component |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.