CWE-1295 · Отладочные сообщения, раскрывающие избыточную информацию

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1295БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Отладочные сообщения, раскрывающие избыточную информацию

Продукт не обеспечивает надлежащего предотвращения раскрытия избыточной и потенциально чувствительной системной информации в отладочных сообщениях.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Эксплуатация непроизводственных интерфейсов

Связанные уязвимости

CVE-2024-38516ai-client-html - это клиентский HTML-компонент Aimeos для электронной коммерции. Отладочная информация раскрыла конфиденциальную информацию из переменных окружения в журнале ошибок. Эта проблема была исправлена в версиях 2024.04.7, 2023.10.15, 2022.10.13 и 2021.10.22.

CVE-2025-31001Уязвимость отладочных сообщений, раскрывающих ненужную информацию в TLA Media GTM Kit позволяет извлечение встроенных конфиденциальных данных. Эта проблема затрагивает GTM Kit: от n/a до 2.3.1.

CVE-2024-45784Apache Airflow версии до 2.10.3 содержит уязвимость, которая может раскрывать конфиденциальные переменные конфигурации в журналах задач. Эта уязвимость позволяет авторам DAG непреднамеренно или намеренно регистрировать конфиденциальные переменные конфигурации. Неавторизованные пользователи могут получить доступ к этим журналам, потенциально раскрывая критические данные, которые могут быть использованы для компрометации безопасности развертывания Airflow. В версии 2.10.3 секреты теперь маскируются в журналах задач, чтобы предотвратить раскрытие конфиденциальных переменных конфигурации в выходных данных журнала. Пользователям следует обновиться до Airflow 2.10.3 или последней версии, чтобы устранить эту уязвимость. Если вы подозреваете, что авторы DAG могли зарегистрировать секретные значения в журналах и что ваши журналы не имеют дополнительной защиты, также рекомендуется обновить эти секреты.

CVE-2023-5392Утечка информации C300 из-за функции анализа, которая позволяет извлекать больше памяти по сети, чем требуется функции. Honeywell рекомендует обновить продукт до последней версии. См. уведомление о безопасности Honeywell для получения рекомендаций по обновлению и управлению версиями.

CVE-2023-4215Advantech WebAccess версии 9.1.3 содержит уязвимость, связанную с раскрытием конфиденциальной информации неавторизованному субъекту, что может привести к утечке учетных данных пользователя.

CVE-2025-42604Эта уязвимость существует в решениях Meon KYC из-за включенного режима отладки в определенных конечных точках API. Удаленный злоумышленник может воспользоваться этой уязвимостью, получив доступ к определенным неавторизованным конечным точкам API, что приводит к подробным сообщениям об ошибках в ответе, раскрывая информацию, связанную с системой [1]. Источники: - [1] https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0082

CVE-2025-2877В Ansible Automation Platform's Event-Driven Ansible была обнаружена ошибка. В конфигурациях, где установлен уровеньverbosity "debug", пароли инвентаря появляются в открытом виде при запуске активации правила. Эта проблема существует для любого действия "debug" в правиле и также затрагивает Event Streams.

CVE-2025-12910Неправильным внедрением Passkeys в Google Chrome до 140.0.7339.80 позволило локальному злоумышленнику получить потенциально конфиденциальную информацию через журналы отладки. (Хромированная тяжесть безопасности: низкая)

CVE-2025-46775Сообщения об отладке, раскрывающие ненужную информационную уязвимость в Fortinet FortiExtender 7.6.0 - 7.6.1, FortiExtender 7.4.6, FortiExtender 7.2 всех версий, FortiExtender 7.0 все версии могут позволить аутентифицированному пользователю получить учетные данные администратора с помощью команд журналов отладки.

CVE-2025-2469В GitLab CE/EE обнаружена проблема, затрагивающая все версии от 17.9 до 17.9.6 и от 17.10 до 17.10.4. Данные профилирования во время выполнения конкретного сервиса были доступны неаутентифицированным пользователям [1]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/525374

CVE-2021-31412Неправильная очистка пути в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.14 (Vaadin с 10.0.0 по 10.0.18), с 1.1.0 до 2.0.0 (Vaadin 11 до 14), с 2.0.0 по 2.6.1 (Vaadin с 14.0.0 по 14.6.1) и с 3.0.0 по 6.0.9 (Vaadin с 15.0.0 по 19.0.8) позволяет сетевому злоумышленнику перечислять все доступные маршруты через специально созданный HTTP-запрос, когда приложение работает в производственном режиме и не предоставлен пользовательский обработчик для NotFoundException.

CVE-2025-59109Регистрационные блоки дормакабы 9002 (PIN Pad Units) имеют открытый заголовок UART на задней стороне. PIN-код отправляет каждую кнопку нажатие на интерфейс UART. Злоумышленник может использовать интерфейс для эксфильтрации PIN-кодов. Поскольку устройства явно построены как Plug-and-Play, чтобы быть легко заменены, злоумышленник легко может удалить устройство, установить аппаратный имплантат, который подключается к UART и удаляет данные, выставленные через UART, в другую систему (например, через WiFi).

CVE-2024-11217Была найдена уязвимость в OAuth-сервере. OAuth-сервер регистрирует секрет клиента OAuth2, когда уровень журнала выше Debug для параметров входа OIDC/GitHub/GitLab/Google IDPs.

CVE-2024-27179Куки администратора записываются в открытом виде в журналах. Злоумышленник может извлечь их и обойти механизм аутентификации. Список затронутых продуктов/моделей/версий см. по ссылке.

CVE-2025-35031Medical Informatics Engineering Enterprise Health включает в себя текущий токен сеанса пользователя в выводе отладки. Злоумышленник может убедить пользователя отправить этот вывод злоумышленнику, что позволяет злоумышленнику выдавать себя за этого пользователя. Этот вопрос закреплен по состоянию на 2025-04-08 годы.