CVEbaza.plSłownik CWECWE-82
Common Weakness Enumeration

CWE-82

Improper Neutralization of Script in Attributes of IMG Tags in a Web Page

Kategoria: VariantCVE: 7
Opis

Aplikacja internetowa nie neutralizuje lub nieprawidłowo neutralizuje elementy skryptów w atrybutach znaczników HTML IMG, takich jak atrybut src. Może to prowadzić do wykonania nieautoryzowanego kodu przez atakującego.

Description (EN)

The web application does not neutralize or incorrectly neutralizes scripting elements within attributes of HTML IMG tags, such as the src attribute.

Podatności CVE z CWE-82 (7)
9.9
CVSS
CRITICAL
CVE-2024-52427

Krytyczna podatność w pluginie WordPress 'Event Tickets with Ticket Scanner' firmy Vollstart umożliwia atakującemu wykonanie zdalnego kodu (RCE) poprzez wstrzyknięcie Server Side Include (SSI). Wysoki wynik CVSS 9.9 oraz zakres ataku wykraczający poza środowisko hosta czynią tę podatność szczególnie niebezpieczną.

pub. 2024-11-18
9.1
CVSS
CRITICAL
CVE-2024-52434

Wtyczka Popup by Supsystic dla WordPress w wersji do 1.10.29 włącznie zawiera krytyczną podatność deserializacji niezaufanych danych umożliwiającą zdalne wykonanie kodu (RCE). Podatność jest szczególnie niebezpieczna, ponieważ pozwala atakującemu na przejęcie kontroli nad serwerem hostującym witrynę.

pub. 2024-11-18
9.1
CVSS
CRITICAL
CVE-2024-52393

Wtyczka Podlove Podcast Publisher dla WordPress w wersjach do 4.1.15 włącznie zawiera krytyczną podatność deserializacji niezaufanych danych umożliwiającą zdalne wykonanie kodu (RCE). Mimo że exploitation wymaga uprawnień administratora, zasięg ataku wykracza poza atakowany system (S:C), co czyni tę podatność szczególnie niebezpieczną w środowiskach wielodostępnych.

pub. 2024-11-14
9.1
CVSS
CRITICAL
CVE-2024-48042

Krytyczna podatność w pluginie WordPress Contact Form by Supsystic (wersje do 1.7.28 włącznie) umożliwia zdalne wykonanie poleceń systemowych (Command Injection) poprzez deserializację niezaufanych danych. Zagrożenie jest szczególnie poważne ze względu na wysoki wynik CVSS 9.1 oraz zakres oddziaływania wykraczający poza bezpośredni komponent.

pub. 2024-10-16
9.1
CVSS
CRITICAL
CVE-2024-49271

Podatność deserializacji niezaufanych danych w pluginie WordPress 'Unlimited Elements For Elementor' umożliwia zdalne wykonanie kodu (RCE) poprzez command injection. Krytyczny poziom zagrożenia (CVSS 9.1) wynika z możliwości przejęcia pełnej kontroli nad serwerem.

pub. 2024-10-16
8.5
CVSS
HIGH
CVE-2025-53194

Deserialization of Untrusted Data vulnerability in Crocoblock JetEngine jet-engine allows Code Injection.This issue affects JetEngine: from n/a through <= 3.7.0.

pub. 2025-08-20
5.4
CVSS
MEDIUM
CVE-2023-30963

A security defect was discovered in Foundry Frontend which enabled users to perform Stored XSS attacks in Slate if Foundry's CSP were to be bypassed. This defect was resolved with the release of Foundry Frontend 6.229.0. The service was rolled out to all affected Foundry instances. No further intervention is required.

pub. 2023-07-10
Informacje
ID: CWE-82
Typ: Variant
Podatności: 7
MITRE CWE ↗
← Słownik CWE