CAPEC-600СтандартСтабильный
Подстановка учётных данных
Нет описания в исходных данных.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
CWE-262
Продукт не имеет механизма управления сроком действия паролей.
CWE-263
Продукт поддерживает устаревание паролей, однако срок их действия слишком велик.
CWE-307
Продукт не реализует достаточных мер для предотвращения множества неудачных попыток аутентификации в течение короткого промежут
CWE-308
Продукт применяет алгоритм аутентификации, использующий единственный фактор (например, пароль) в контексте безопасности, требующ
CWE-309
Использование парольных систем в качестве основного способа аутентификации может быть подвержено нескольким недостаткам, каждый
CWE-522
Продукт передаёт или хранит учётные данные аутентификации, используя небезопасный метод, уязвимый для несанкционированного пере
CWE-654
Механизм защиты полностью или в значительной мере опирается на оценку единственного условия либо на целостность единственного об
Связанные уязвимости
CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux,
64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз.
Эта проблема затрагивает Identity Manager Advanced
Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-8760Логин с OTP-плагин для WordPress уязвим для обхода аутентификации во всех версиях до 1,6. Это связано с неполным исправлением для CVE-2024-11178: проверка, добавленная к `otpl_login_action()`, была размещена только внутри ветки ОПТ-поколения и никогда не оценивается на ветке OTP-валидации, а сгенерированный 6-значный OTP также не истекает. Это позволяет неаутентифицированным злоумышленникам грубо принуждать к ОПТ-пространству с 900,000 значений для любой учетной записи пользователя (включая администраторов) и получить действующую `wp_set_auth_cookie()` сессию, что приведет к полному компромиссу сайта.
CVE-2026-43914Vaultwarden - это сервер, совместимый с Bitwarden, написанный на Rust. До 1.35.4 в Vaultwarden есть уязвимость безопасности, которая позволяет обойти защиту от силы логина, если включена электронная почта 2fa. Если электронная почта 2fa включена, незащищенная 2fa-функция send_email_login (email.rs, api endpoint /api/two-factor/send-email-login) также действует как оракул, определяющий, верна ли комбинация имя-пароль пользователя. Нападающий может злоупотреблять этой конечной точкой паролей грубой силы без ограничения скорости. Это работает даже для пользователей, у которых нет настроенной электронной почты 2fa. Эта уязвимость фиксируется в разделе 1.35.4.
CVE-2026-23658Недостаточно защищенные учетные данные в Azure DevOps позволяют несанкционированному злоумышленнику повысить привилегии над сетью.
CVE-2026-22278Версии Dell PowerScale OneFS до 9.13.0.0 содержат неправильную уязвимость попыток аутентификации. Неаутентифицированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1].
Источники:
- [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807Проблема была обнаружена в weijiang1994 университет-bbs (он же Blogin) в купи 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). Слабый механизм генерации проверочных кодов в сочетании с ограничением скорости пропуска позволяет злоумышленникам выполнять атаки грубой силы на проверочные коды без аутентификации. Успешная эксплуатация может привести к поглощению учетной записи с помощью сброса пароля или других методов обхода аутентификации.
CVE-2025-58587Приложение не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в течение короткого периода времени, что позволяет злоумышленнику угадывать учетные данные пользователя.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55306GenX_FX - это авансированная торговая платформа IA, которая будет сосредоточена на торговле на рынке Форекс. Уязвимость была идентифицирована в бэкенде GenX FX, где ключи API и токены аутентификации могут быть обнаружены, если переменные среды неправильно настроены. Несанкционированные пользователи могут получить доступ к облачным ресурсам (Google Cloud, Firebase, GitHub и т.д.).
CVE-2025-54428RevelaCode - это проект, ориентированный на интеллект, который декодирует библейские стихи, пророчества и глобальные события на доступный язык. В версиях ниже 1.0.1 действительный MongoDB Atlas URI со встроенным именем пользователя и паролем был случайно передан в общественное хранилище. Это может позволить несанкционированный доступ к производственным или постановочным базам данных, что может привести к эксфильтрации, изменению или удалению данных. Это исправлено в версии 1.0.1. Пространства включают в себя: немедленное вращение учетных данных для пользователя базы данных, использование секретного менеджера (например, Vault, Doppler, AWS Secrets Manager и т. Д.) Вместо хранения секретов непосредственно в коде или аудит недавних журналов доступа на предмет подозрительной активности.