CVEbaza.plSłownik CWECWE-80
Common Weakness Enumeration

CWE-80

Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

Kategoria: VariantCVE: 553
Opis

Produkt otrzymuje dane wejściowe z komponentu nadrzędnego, ale nie neutralizuje lub nieprawidłowo neutralizuje znaki specjalne takie jak "<", ">", "&", które mogą być interpretowane jako elementy skryptowania internetowego. Znaki te są następnie wysyłane do komponentu podrzędnego przetwarzającego strony internetowe.

Description (EN)

The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes special characters such as "<", ">", and "&" that could be interpreted as web-scripting elements when they are sent to a downstream component that processes web pages.

Podatności CVE z CWE-80 (553)
9.6
CVSS
CRITICAL
CVE-2025-66481

DeepChat w wersjach 0.5.1 i wcześniejszych jest podatny na ataki XSS poprzez nieprawidłowo oczyszczane treści Mermaid, co może prowadzić do zdalnego wykonania kodu (RCE) na maszynie ofiary. Szczególnie niebezpieczne jest to, że wcześniej wydana łatka bezpieczeństwa jest niewystarczająca i może zostać ominięta.

pub. 2025-12-09
9.6
CVSS
CRITICAL
CVE-2024-39363

W oprogramowaniu routera Wavlink AC3000 (model M33A8) odkryto podatność typu cross-site scripting (XSS) w funkcji set_lang_CountryCode() pliku login.cgi. Atakujący bez uwierzytelnienia może wysłać spreparowane żądanie HTTP, powodując ujawnienie wrażliwych informacji.

pub. 2025-01-14
9.6
CVSS
CRITICAL
CVE-2024-34070

W aplikacji Froxlor przed wersją 2.1.9 odkryto podatność typu Stored Blind XSS w mechanizmie rejestrowania nieudanych prób logowania. Nieuwierzytelniony atakujący może wstrzyknąć złośliwy skrypt, który zostanie wykonany w przeglądarce administratora przeglądającego logi systemowe, co może prowadzić do pełnego przejęcia kontroli nad aplikacją.

pub. 2024-05-14
9.6
CVSS
CRITICAL
CVE-2023-39216

Improper input validation in Zoom Desktop Client for Windows before 5.14.7 may allow an unauthenticated user to enable an escalation of privilege via network access.

pub. 2023-08-08
9.6
CVSS
CRITICAL
CVE-2022-29168

Wire is a secure messaging application. Wire is vulnerable to arbitrary HTML and Javascript execution via insufficient escaping when rendering `@mentions` in the wire-webapp. If a user receives and views a malicious message, arbitrary code is injected and executed in the context of the victim allowing the attacker to fully control the user account. Wire-desktop clients that are connected to a vulnerable wire-webapp version are also vulnerable to this attack. The issue has been fixed in wire-webapp 2022-05-04-production.0 and is already deployed on all Wire managed services. On-premise instances of wire-webapp need to be updated to docker tag 2022-05-04-production.0-v0.29.7-0-a6f2ded or wire-server 2022-05-04 (chart/4.11.0) or later. No known workarounds exist.

pub. 2022-06-25
9.6
CVSS
CRITICAL
CVE-2019-13923

A vulnerability has been identified in IE/WSN-PA Link WirelessHART Gateway (All versions). The integrated configuration web server of the affected device could allow Cross-Site Scripting (XSS) attacks if unsuspecting users are tricked into accessing a malicious link. User interaction is required for a successful exploitation. The user must be logged into the web interface in order for the exploitation to succeed. At the stage of publishing this security advisory no public exploitation is known.

pub. 2019-09-13
9.3
CVSS
CRITICAL
CVE-2026-40872

W mailcow: dockerized przed wersją 2026-03b istnieje podatność typu stored XSS (Cross-Site Scripting) w panelu administracyjnym. Nieuwierzytelniony atakujący może wstrzyknąć złośliwy kod HTML/JS, który zostanie wykonany w przeglądarce administratora przeglądającego logi Autodiscover.

pub. 2026-04-21
9.3
CVSS
CRITICAL
CVE-2025-53883

Podatność typu reflected XSS (Basic XSS) w SUSE Manager Server umożliwia atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez spreparowane zapytania w polach wyszukiwania. Pomimo wymaganej interakcji użytkownika, podatność uzyskała ocenę CRITICAL (CVSS 9.3) ze względu na wysoki wpływ na poufność i integralność danych w systemach zależnych.

pub. 2025-10-30
9.3
CVSS
CRITICAL
CVE-2023-44393

Piwigo is an open source photo gallery application. Prior to version 14.0.0beta4, a reflected cross-site scripting (XSS) vulnerability is in the` /admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]` page. This vulnerability can be exploited by an attacker to inject malicious HTML and JS code into the HTML page, which could then be executed by admin users when they visit the URL with the payload. The vulnerability is caused by the insecure injection of the `plugin_id` value from the URL into the HTML page. An attacker can exploit this vulnerability by crafting a malicious URL that contains a specially crafted `plugin_id` value. When a victim who is logged in as an administrator visits this URL, the malicious code will be injected into the HTML page and executed. This vulnerability can be exploited by any attacker who has access to a malicious URL. However, only users who are logged in as administrators are affected. This is because the vulnerability is only present on the `/admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]` page, which is only accessible to administrators. Version 14.0.0.beta4 contains a patch for this issue.

pub. 2023-10-09
9.0
CVSS
CRITICAL
CVE-2026-32891

Anchorr w wersjach 1.4.1 i wcześniejszych zawiera podatność stored XSS w selektorze użytkowników Jellyseerr, która pozwala dowolnemu posiadaczowi konta wykonać złośliwy skrypt JavaScript w sesji przeglądarki administratora. Skutkiem jest pełne przejęcie panelu administracyjnego oraz wszystkich zintegrowanych usług bez znajomości hasła administratora.

pub. 2026-03-20
9.0
CVSS
CRITICAL
CVE-2025-54117

W oprogramowaniu NamelessMC przed wersją 2.2.3 istnieje podatność typu Cross-site scripting (XSS) w komponencie edytora tekstu panelu zarządzania. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML, co przy ocenie CVSS 9.0 (CRITICAL) stanowi poważne zagrożenie dla integralności i poufności danych.

pub. 2025-08-18
9.0
CVSS
CRITICAL
CVE-2025-53835

Podatność w module XWiki Rendering umożliwia przeprowadzenie ataku XSS poprzez osadzenie dowolnego kodu HTML i JavaScript przy użyciu składni xdom+xml/current. Zagrożeni są wszyscy użytkownicy posiadający prawo edycji dokumentów, w tym domyślnie własnego profilu.

pub. 2025-07-14
9.0
CVSS
CRITICAL
CVE-2024-52300

Makro PDF Viewer (macro-pdfviewer) dla XWiki zawiera podatność XSS wynikającą z braku odpowiedniego escapowania parametru width. Atakujący z uprawnieniami do edycji strony może wstrzyknąć złośliwy kod, który po odwiedzeniu strony przez administratora zagraża poufności, integralności i dostępności całej instalacji XWiki.

pub. 2024-11-13
9.0
CVSS
CRITICAL
CVE-2024-41947

Podatność typu XSS w XWiki Platform umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce użytkownika o wyższych uprawnieniach podczas edycji strony. Skuteczne wykorzystanie kompromituje poufność, integralność i dostępność całej instalacji XWiki.

pub. 2024-07-31
9.0
CVSS
CRITICAL
CVE-2023-35153

XWiki Platform is a generic wiki platform. Starting in version 5.4.4 and prior to versions 14.4.8, 14.10.4, and 15.0, a stored cross-site scripting vulnerability can be exploited by users with edit rights by adding a `AppWithinMinutes.FormFieldCategoryClass` class on a page and setting the payload on the page title. Then, any user visiting `/xwiki/bin/view/AppWithinMinutes/ClassEditSheet` executes the payload. The issue has been patched in XWiki 14.4.8, 14.10.4, and 15.0. As a workaround, update `AppWithinMinutes.ClassEditSheet` with a patch.

pub. 2023-06-23
9.0
CVSS
CRITICAL
CVE-2020-2503

If exploited, this stored cross-site scripting vulnerability could allow remote attackers to inject malicious code in File Station. QNAP has already fixed these issues in QES 2.1.1 Build 20201006 and later.

pub. 2020-12-24
8.9
CVSS
HIGH
CVE-2026-40873

mailcow: dockerized is an open source groupware/email suite based on docker. In versions prior to 2026-03b, the Quarantine details modal injects attachment filenames into HTML without escaping, allowing arbitrary HTML/JS execution. An attacker can deliver an email with a crafted attachment name so that when an admin views the quarantine item, JavaScript executes in their browser, taking over their account. Version 2026-03b fixes the vulnerability.

pub. 2026-04-21
8.9
CVSS
HIGH
CVE-2024-37166

ghtml is software that uses tagged templates for template engine functionality. It is possible to introduce user-controlled JavaScript code and trigger a Cross-Site Scripting (XSS) vulnerability in some cases. Version 2.0.0 introduces changes to mitigate this issue. Version 2.0.0 contains updated documentation to clarify that while ghtml escapes characters with special meaning in HTML, it does not provide comprehensive protection against all types of XSS attacks in every scenario. This aligns with the approach taken by other template engines. Developers should be cautious and take additional measures to sanitize user input and prevent potential vulnerabilities. Additionally, the backtick character (`) is now also escaped to prevent the creation of strings in most cases where a malicious actor somehow gains the ability to write JavaScript. This does not provide comprehensive protection either.

pub. 2024-06-10
8.9
CVSS
HIGH
CVE-2023-29508

XWiki Commons are technical libraries common to several other top level XWiki projects. A user without script rights can introduce a stored XSS by using the Live Data macro, if the last author of the content of the page has script rights. This has been patched in XWiki 14.10, 14.4.7, and 13.10.11.

pub. 2023-04-16
8.9
CVSS
HIGH
CVE-2022-36094

XWiki Platform Web Parent POM contains Web resources for the XWiki platform, a generic wiki platform. Starting with version 1.0 and prior to versions 13.10.6 and 14.30-rc-1, it's possible to store JavaScript which will be executed by anyone viewing the history of an attachment containing javascript in its name. This issue has been patched in XWiki 13.10.6 and 14.3RC1. As a workaround, it is possible to replace `viewattachrev.vm`, the entry point for this attack, by a patched version from the patch without updating XWiki.

pub. 2022-09-08
Pokazano 20 z 553 podatności
Informacje
ID: CWE-80
Typ: Variant
Podatności: 553
MITRE CWE ↗
← Słownik CWE
CWE-80 — Nieprawidłowa neutralizacja tagów HTML związanych ze skryptami na stronie internetowej (podstawowy XSS) | Słownik CWE | CVEbaza.pl