CWE-212БазаНеполный
Ненадлежащее удаление конфиденциальной информации перед сохранением или передачей
Продукт сохраняет, передаёт или предоставляет ресурс, содержащий конфиденциальную информацию, однако не удаляет её должным образом до того, как делает ресурс доступным для неавторизованных субъектов.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2022-1650Неправильное удаление конфиденциальной информации перед хранением или передачей в репозитории GitHub eventsource/eventsource до версии v2.0.2.
CVE-2020-11684AT91bootstrap до версии 3.9.2 неправильно удаляет ключи шифрования и аутентификации из памяти перед передачей управления менее привилегированному программному компоненту. Это можно использовать для раскрытия этих ключей и последующего шифрования и подписи следующего этапа загрузки (например, загрузчика).
CVE-2026-39937Неправильное удаление конфиденциальной информации перед хранением или передачей уязвимости в The Wikimedia Foundation Mediawiki - CentralAuth Extension позволяет Resource Leak Exposure. Проблема была исправлена в филиале «Мастер» и в филиалах выпуска для версий MediaWiki 1.43, 1.44 и 1.45.
CVE-2022-30617Аутентифицированный пользователь с доступом к панели администратора Strapi может просматривать частные и конфиденциальные данные, такие как электронная почта и токены сброса пароля, для других пользователей панели администратора, которые имеют отношения (например, созданы, обновлены) с контентом, доступным аутентифицированному пользователю. Например, учетная запись с ролью «автор» с низкими привилегиями может просматривать эти сведения в ответе JSON для «редактора» или «супер администратора», который обновил один из сообщений блога автора. Существует также много других сценариев, в которых такие сведения от других пользователей могут просочиться в ответе JSON либо через прямую, либо через косвенную связь. Доступ к этой информации позволяет пользователю скомпрометировать учетные записи других пользователей, успешно вызвав рабочий процесс сброса пароля. В худшем случае пользователь с низкими привилегиями может получить доступ к учетной записи «супер администратора» с полным контролем над экземпляром Strapi и может читать и изменять любые данные, а также блокировать доступ как к панели администратора, так и к API, отменяя привилегии для всех других пользователей.
CVE-2022-2818Improper Removal of Sensitive Information Before Storage or Transfer in GitHub repository cockpit-hq/cockpit prior to 2.2.2.
CVE-2021-0340В parseNextBox в IsoInterface.java возможна утечка неотредактированной информации о местоположении из-за неправильной проверки ввода. Это может привести к удаленному раскрытию информации без необходимости в дополнительных привилегиях выполнения. Для эксплуатации требуется взаимодействие с пользователем. Продукт: Android Версии: Android-10 Android ID: A-134155286.
CVE-2020-15094В Symfony до версий 4.4.13 и 5.1.5 класс CachingHttpClient из компонента HttpClient Symfony полагается на класс HttpCache для обработки запросов. HttpCache использует внутренние заголовки, такие как X-Body-Eval и X-Body-File, для управления восстановлением кэшированных ответов. Класс был изначально написан с учетом суррогатного кэширования и поддержки ESI (все HTTP-вызовы поступают из доверенного бэкэнда в этом сценарии). Но при использовании CachingHttpClient и если злоумышленник может контролировать ответ на запрос, сделанный CachingHttpClient, возможно удаленное выполнение кода. Это было исправлено в версиях 4.4.13 и 5.1.5.
CVE-2019-13402/usr/sbin/default.sh и /usr/apache/htdocs/cgi-bin/admin/hardfactorydefault.cgi на устройствах Dynacolor FCM-MB40 v1.2.0.0 реализуют неполный процесс восстановления заводских настроек. Бэкдор может сохраняться, поскольку ни системные учетные записи, ни набор служб не сбрасываются.
CVE-2019-11711Когда внутреннее окно повторно используется, оно не учитывает использование document.domain для защиты от междоменных запросов. Если страницы в разных поддоменах когда-либо совместно используют document.domain, то любая страница может злоупотребить этим, чтобы внедрить скрипт в произвольные страницы в другом поддомене, даже в те, которые не использовали document.domain для ослабления своей безопасности происхождения. Эта уязвимость затрагивает Firefox ESR < 60.8, Firefox < 68 и Thunderbird < 60.8.
CVE-2026-27640tfplan2md - это программное обеспечение для преобразования файлов плана Terraform JSON в читаемые для человека отчеты Markdown. До версии 1.26.1 ошибка в tfplan2md затронула несколько различных путей рендеринга: свойства ресурса AzApi, переменные группы AzureDevOps, переменные контекстные переменные шаблона Scriban и иерархическое обнаружение чувствительности. Это привело к тому, что отчеты вместо этого передали значения, которые должны были быть замаскированы как «(чувствительные)». Эта проблема зафиксирована в v1.26.1. Известные обходные действия не доступны.
CVE-2019-11716До тех пор, пока скрипт явно не получит доступ к window.globalThis, он не является перечислимым и, как следствие, не виден коду, такому как Object.getOwnPropertyNames(window). Сайты, которые развертывают песочницу, которая зависит от перечисления и замораживания доступа к объекту window, могут пропустить это, что позволит обойти их песочницы. Эта уязвимость затрагивает Firefox < 68.
CVE-2025-65965Grype - это сканер уязвимостей для изображений контейнеров и файловых систем. Уязвимость раскрытия учетных данных была обнаружена в Grype, затрагивающая версии от 0.68.0 до 0.104.0. Если определены учетные данные реестра и вывод grype написан с использованием параметра --file или --output json=<file>, учетные данные реестра будут включены в несанитарный файл в выходной файл. Этот вопрос был исправлен в версии 0.104.1. Пользователи, запускающие затронутые версии grype, могут обойти эту уязвимость, перенаправляя stdout на файл вместо использования параметров-файла или -выпуска.
CVE-2018-19962Обнаружена проблема в Xen до версии 4.11.x на платформах AMD x86, возможно, позволяющая пользователям гостевой ОС получать привилегии хост-ОС, поскольку небольшие сопоставления IOMMU небезопасно объединяются в более крупные.
CVE-2018-19961Обнаружена проблема в Xen до версии 4.11.x на платформах AMD x86, возможно, позволяющая пользователям гостевой ОС получать привилегии хост-ОС, поскольку сброс TLB не всегда происходит после изменений сопоставления IOMMU.
CVE-2024-43384Низкий привилегированный удаленный злоумышленник может получить пароль root из-за неправильного удаления конфиденциальной информации перед хранением или передачей.