CAPEC-498ДетальныйЧерновик
Анализ снимков экрана iOS
Злоумышленник анализирует снимки экрана, создаваемые iOS, с целью получения конфиденциальной информации. Данная атака нацелена на временные снимки экрана, создаваемые операционной системой в то время, когда приложение остаётся открытым в фоновом режиме.
Открыть в каталоге с фильтром CAPEC →Связанные уязвимости
CVE-2023-36018Уязвимость спуфинга расширения Visual Studio Code Jupyter.
CVE-2022-1650Неправильное удаление конфиденциальной информации перед хранением или передачей в репозитории GitHub eventsource/eventsource до версии v2.0.2.
CVE-2024-49765Discourse - это платформа с открытым исходным кодом для обсуждения в сообществе. Сайты, использующие discourse connect, но все еще имеющие локальные логины, могут позволить злоумышленникам обойти discourse connect для создания учетных записей и входа в систему. Эта проблема исправлена в последней версии Discourse. Пользователи, не имеющие возможности обновиться и использующие discourse connect, могут отключить все другие методы входа в качестве обходного пути.
CVE-2022-0482Предоставление личной информации неавторизованному субъекту в репозитории GitHub alextselegidis/easyappointments до версии 1.4.3.
CVE-2022-2921Предоставление частной личной информации неавторизованному субъекту в репозитории GitHub notrinos/notrinoserp до v0.7. Это приводит к повышению привилегий до учетной записи системного администратора. Злоумышленник может получить доступ к защищенным функциям, таким как создание/обновление компаний, установка/обновление языков, установка/активация расширений, установка/активация тем и другие разрешительные действия.
CVE-2025-54125Платформа XWiki - это универсальная вики-платформа, предоставляющая сервисы для приложений, построенных на ее основе. В версиях XWiki Platform Legacy Old Core и XWiki Platform Old Core от 1.1 до 16.4.6, 16.5.0-rc-1 до 16.10.4 и 17.0.0-rc-1 до 17.1.0 экспорт страницы в формате XML, который может быть инициирован любым пользователем с правами просмотра страницы путем добавления ?xpage=xml к URL, включает свойства пароля и электронной почты, хранящиеся в документе, даже если они не названы password или email. Эта уязвимость была исправлена в версиях 16.4.7, 16.10.5 и 17.2.0-rc-1. В качестве обходного пути можно удалить файл templates/xml.vm из развернутого WAR, если экспорт XML не нужен. В самой XWiki нет функций, зависящих от этого экспорта [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-57q2-6cp4-9mq3
- [2] https://github.com/xwiki/xwiki-platform/commit/742ee3482ef6c2bd4ad03d0de9cdd81d0e8f3d59
- [3] https://jira.xwiki.org/browse/XWIKI-22810
CVE-2025-53625Расширение DynamicPageList3 - это инструмент отчетности для MediaWiki, который перечисляет члены категории и пересечения с различными форматами и деталями. Несколько параметров #dpl могут раскрыть имена пользователей, которые были скрыты с помощью удаления редакции, подавления или флага блокировки hideuser. Уязвимость исправлена в версии 3.6.4 [1].
Источники:
- [1] https://github.com/Universal-Omega/DynamicPageList3/security/advisories/GHSA-7pgw-q3qp-6pgq
- [2] https://github.com/Universal-Omega/DynamicPageList3/commit/a3dae0c89fb4214390c29ceffa23bbe2099986d6
CVE-2025-20060Злоумышленник может раскрыть личную информацию о пользователе (PII) и личную медицинскую информацию, передаваемую на устройство Android через базу данных приложения Dario Health.
CVE-2024-47087Эта уязвимость существует в Apex Softcell LD Geo из-за неправильной проверки определенных параметров (Client ID, DPID или BOID) в конечной точке API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметрами в теле запроса API, что приведет к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2024-47085Эта уязвимость существует в Apex Softcell LD DP Back Office из-за неправильной проверки определенных параметров (cCdslClicentcode и cLdClientCode) в конечной точке API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметрами в теле запроса API, что приведет к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2024-45787Эта уязвимость существует в Reedos aiM-Star версии 2.0.1 из-за передачи конфиденциальной информации в виде простого текста в определенных конечных точках API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметром через URL-адрес запроса API и перехватывая ответ запроса API, что приводит к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2020-37173AVideo Platform 8.1 contains an information disclosure vulnerability that allows attackers to enumerate user details through the playlistsFromUser.json.php endpoint. Attackers can retrieve sensitive user information including email, password hash, and administrative status by manipulating the users_id parameter.
CVE-2025-13008An information disclosure vulnerability in M-Files Server before versions 25.12.15491.7, 25.8 LTS SR3, 25.2 LTS SR3 and 24.8 LTS SR5 allows an authenticated attacker using M-Files Web to capture session tokens of other active users.
CVE-2023-36052Уязвимость раскрытия информации в команде Azure CLI REST.
CVE-2025-10450Exposure of Private Personal Information to an Unauthorized Actor vulnerability in RTI Connext Professional (Core Libraries) allows Sniffing Network Traffic.This issue affects Connext Professional: from 7.4.0 before 7.*, from 7.2.0 before 7.3.1.