V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-1258БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Раскрытие чувствительной системной информации вследствие неочищенной отладочной информации

Аппаратное обеспечение не выполняет полную очистку чувствительных с точки зрения безопасности значений, таких как ключи и промежуточные значения в криптографических операциях, при входе в режим отладки.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-37
Извлечение встроенных конфиденциальных данных
CAPEC-150
Сбор данных из стандартных расположений ресурсов
CAPEC-204
Извлечение конфиденциальных данных из кэша
CAPEC-545
Извлечение данных из системных ресурсов

Связанные уязвимости

CVE-2022-39292Slack Morphism — это современная клиентская библиотека для Slack Web/Events API/Socket Mode и Block Kit. Отладочные журналы раскрывают конфиденциальные URL-адреса для веб-хуков Slack, которые содержат личную информацию. Проблема исправлена в версии 1.3.2, которая редактирует конфиденциальные URL-адреса для веб-хуков. В качестве обходного пути люди, использующие веб-хуки Slack, могут отключить или отфильтровать отладочные журналы.
CVE-2023-48308Nextcloud/Cloud - это приложение-календарь для Nextcloud. Злоумышленник может получить доступ к трассировке стека и внутренним путям сервера при создании исключения во время редактирования встречи в календаре. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.5.3.
CVE-2022-43666Раскрытие конфиденциальной системной информации из-за неочищенной отладочной информации для некоторого программного обеспечения Intel Unison может позволить аутентифицированному пользователю потенциально включить раскрытие информации через локальный доступ.
CVE-2025-32257Выявление конфиденциальной системной информации из-за неочищенной отладочной информации, уязвимость в 1clickmigration 1 Click WordPress Migration позволяет извлекать встроенные конфиденциальные данные. Эта проблема затрагивает 1 Click WordPress Migration: от n/a до 2.2.
CVE-2026-26948Dell Integrated Dell Remote Access Controller 9, 14G версии до 7.00.00.174, 15G и 16G до 7.10.90.00, содержат экспозицию чувствительную системную информацию из-за уязвимости Uncleared Debug. Высокий привилегированный злоумышленник с удаленным доступом может потенциально использовать эту уязвимость, что приведет к раскрытию информации.
CVE-2025-26482В BIOS сервера Dell PowerEdge и Dell iDRAC9, во всех версиях, обнаружена уязвимость, связанная с раскрытием информации. Злоумышленник с высоким уровнем привилегий и удаленным доступом может потенциально использовать эту уязвимость, что приведет к раскрытию информации. Источники: - [1] https://www.dell.com/support/kbdoc/en-us/000370138/dsa-2025-046-security-update-for-dell-poweredge-server-and-dell-idrac9-for-information-disclosure-vulnerability
CVE-2024-36913В ядре Linux устранена следующая уязвимость: Drivers: hv: vmbus: «Утечка» страниц, если set_memory_encrypted() завершается неудачно В CoCo VM возможно, что ненадежный хост может вызвать сбой set_memory_encrypted() или set_memory_decrypted() таким образом, что будет возвращена ошибка и результирующая память станет общей. Вызывающие абоненты должны позаботиться об обработке этих ошибок, чтобы избежать возврата расшифрованной (общей) памяти аллокатору страниц, что может привести к функциональным проблемам или проблемам безопасности. Код VMBus может освобождать расшифрованные страницы, если set_memory_encrypted()/decrypted() завершается неудачно. Допустите «утечку» страниц, если это произойдет.
CVE-2024-36912В ядре Linux устранена следующая уязвимость: Drivers: hv: vmbus: Отслеживать статус расшифровки в vmbus_gpadl В CoCo VM возможно, что ненадежный хост может вызвать сбой set_memory_encrypted() или set_memory_decrypted() таким образом, что будет возвращена ошибка и результирующая память станет общей. Вызывающие абоненты должны позаботиться об обработке этих ошибок, чтобы избежать возврата расшифрованной (общей) памяти аллокатору страниц, что может привести к функциональным проблемам или проблемам безопасности. Чтобы убедиться, что вызывающие абоненты vmbus_establish_gpadl() и vmbus_teardown_gpadl() не возвращают расшифрованные/общие страницы аллокаторам, добавьте поле в struct vmbus_gpadl, чтобы отслеживать статус расшифровки буферов. Это позволит вызывающим абонентам узнать, следует ли им освобождать или «протекать» страницы.
CVE-2025-15480В Ubuntu версия 24.04.4 может утечка конфиденциальных учетных данных пользователей во время сообщения о сбоях. При сбое установки, если пользователь представил отчет об ошибке в Launchpad, ubuntu-desktop-provision может включать хэш пароля пользователя в прилагаемые журналы.
CVE-2025-14551В Ubuntu версия Subiquity 24.04.4 может утечка конфиденциальных учетных данных пользователей во время сообщения о сбоях. При сбое установки, если пользователь представил отчет об ошибке в Launchpad, Subiquity может включать определенные учетные данные пользователя, такие как пароль Wi-Fi пользователя, в прилагаемые журналы.